R.T.;
vírus;kibertámadás;zsarolóvírusok;
2017-06-29 07:36:00
Példátlan vírustámadás fenyeget
Egy izraeli kutató jött rá, hogyan lehet blokkolni a világméretűvé duzzadt kibertámadást. Szerdán még mindig nem működött a kijevi Boriszpil nemzetközi repülőtér fő szervere.
Ukrajnát érintette legérzékenyebben a Petya nevű internetes zsarolóvírus keddi támadása, s tegnapra ki is derült, miért. A vírus azért fertőzött meg annyi gépet az országban, mert egy könyvelőprogram frissítésével együtt érkezett. Bár az ukrán belügyminisztérium oldalán azt írták, pánikra semmi ok, az emberek nem tudták megőrizni a hidegvérüket, amikor a bankautomatákból nem tudtak pénzt kivenni, ehelyett azt az üzenetet olvasták, hogy 300 bitcoinnal kell megtömniük a zsarolók zsebét. Kijev már kedden jelezte, nem kérdés számára, hogy orosz hackerek álltak az akció mögött, ugyanakkor Moszkva tagadta az állítást, s azt hozta fel mentségül, hogy nagy orosz cégek is az akció áldozatává váltak.
Szerdán még mindig nem működött a kijevi Boriszpil nemzetközi repülőtér fő szervere, a központi kijelző táblát a járatok érkezéséről és indulásáról ezért "kézi vezérléssel" frissítik negyedóránként. Az ukrán kormány később kiadott közleménye szerint a kibertámadást sikerült a szakembereknek leállítaniuk, a vírus nem terjed tovább, és a megtámadott állami és kereskedelmi vállalatoknál jelenleg már az elveszett adatok helyreállításán dolgoznak.
Az internetes biztonsággal foglalkozó Krebs blog üzemeltetője, Nicholas Weaver valószínűsíti, hogy a keddi attak egy későbbi átfogó akció előzetes tesztje volt, ami azt sejteti, minden korábbinál kiterjedtebb hackertámadás előtt állunk. Más szakértők szerint ugyan a Petya eredeti változatát pénzszerzésre hozták létre, de a keddi új verzió egyértelműen más célt szolgált. A szoftver előállítói minél nagyobb károkat akartak előidézni internetes rendszerekben.
Szakértők minden jelentősebb támadásnál rámutatnak, hogy nagyon időigényes munka, mire visszavezetik, valójában ki állt az egész támadás mögött. Ez nemhogy egy-két óra alatt nem derül ki, gyakran egy-két hét sem elegendő rá. Ugyanakkor az a tény, hogy Ukrajna volt az elsődleges célpont, valószínűsíti: Moszkva keze lehet a dologban. Minisztériumok, pénzintézetek (köztük az OTP ukrán leányvállalata), közlekedési vállalatok, televízió- és rádióállomások, honlapok, nagyvállalatok, mobilszolgáltatók és benzinkutak voltak az akció célpontjai.
A pozsonyi székhelyű antivíruscég, az ESET közlése szerint a fertőzések 80 százalékát Ukrajnából jelentették. Az országon kívül ugyanakkor a WPP reklámvállalat, a Mondelez élelmiszercég, a DLA Piper brit ügyvédi iroda, a Maersk dán halászati cég, a Cadbury’s csokoládégyár ausztráliai leányvállalata és a BNP Paribas francia bank kirendeltségeinek honlapját is elérhetetlenné tette.
A felhasználók szempontjából a legnagyobb kérdés természetesen az, hogyan védekezhetnek ellene. Azok, akik operációs rendszerüket rendszeresen frissítik, nincsenek veszélyben. De azok sem, akik vírusirtójukból is a legfrissebb verziót alkalmazzák. A Cybereason izraeli cég egyik alkalmazottja rájött, hogyan lehet egyszerűen blokkolni a zsarolóvírust, ezzel megakadályozva, hogy a kártékony vírus titkosítsa a megtámadott gépek tartalmát. A szakértő szerint a Petya, ha gépünkre jut, azt vizsgálja, megtalálható-e rajta a C:\Windows\perfc.dat fájl. Ha megtalálja, akkor nem aktiválja a titkosítást, mert már megtámadottnak véli a számítógépet. A vírust ezzel nem lehet likvidálni, de meg lehet akadályozni, hogy továbbterjedjen. Azt tanácsolja ezért, hogy a felhasználók hozzanak létre a gépükön egy ilyen, csak olvasható fájlt.
A jelentések alapján arra lehet következtetni, hogy a mostani zsarolóvírus-fertőzést ugyanazzal az EternalBlue kiberfegyverrel terjesztik, ami az amerikai Nemzetbiztonsági Ügynökség, az NSA eszköztárából szivárgott ki, és a WannaCry elterjedéséért is felelős volt.
A Petya egyébként a WannaCry egy módosított változata.