Virus poté napadl mnoho zemí, mezi nimi i Českou republiku. Ta byla dokonce během dne v masivnosti útoku na devátém místě. Útok připomíná nedávnou událost s virem WannaCry. Mezi další země, kterou jsou řáděním tohoto viru masivně postiženy, patří Itálie, Srbsko, ale také i Izrael. Další aktivity viru budou známy během dnešního dne, protože zasažené počítače mohly být zapnuty až během dnešního dne.
Odborníci detekovali hrozbu jako Win32/Diskcoder.C Trojan, připomíná škodlivý kód Petya. Jeho snahou je proniknout na Master Boot Record (MBR) počítače, kde je uložen zaváděcí program pro následné spuštění operačního systému, tento modifikovat, a tak převzít kontrolu nad počítačem a následně pak zašifrovat celý disk. Pokud se mu to nepodaří, snaží se alespoň zašifrovat všechny soubory na disku. Tato činnost připomíná ransomware Mischa. Cílem útočníků je získat výpalné ve výši 300 dolarů, po jehož zaplacení by měly být zablokovaný počítač nebo soubory uživatelům zpřístupněny.
Bližší a podrobnější technické údaje o tomto viru najdete zde.
Nový ransomware se šíří prostřednictvím kombinace SMB exploitu, který využíval i ransomware WannaCry. Ten napadl zhruba před měsícem na 200 milionů počítačů, a programu PsExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací. Tato kombinace umožňuje další rychlé šíření epidemie po celém světě. A to i přes to, že WannaCry medializoval potřebu záplatovat možné zranitelnosti v programech a operačních systémech. I v těchto případech se však nový virus dokáže šířit dál. Napadá i firemní sítě, kde získáním administrátorských práv infikuje další počítače v síti.
Napadení se – pokud je doposud známo – nevyhnuly dánská námořní společnost Moller-Maersk a britská reklamní společnosti WPP. Napaden byl i systém ochrany Černobylské elektrárny, takže musel přejít do manuálního režimu. Nejvíce byla – podle dosud známých a dostupných údajů – napadena Ukrajina. Jeden z největších ataků a řádění viru zažil i ruský petrochemický obr Rosněft.
Z dostupných informací je zatím známo, že postiženy byly tyto instituce a společnosti: Antonov, DLA Piper, Evraz, Heritage Valley Health System, Merck, Mondelez, Russian steel, Saint-Gobain, TNT. Tento seznam se během dneška zcela jistě rozšíří, i když mnoho institucí „potichu“ raději zaplatí výpalné, aby se ostatní svět nebo jejich konkurenti nedozvěděli, že byli napadeni virem.
Co s tím dělat?
Z toho všeho plyne jediné. Pokud je to ještě možné, proveďte na všech počítačích záplatování bezpečnostních děr. Pokud si ale nejste jisti, zbývá jediné – počítače odpojte od internetu a zavolejte odborníky z antivirových firem nebo se obraťte na platformu KYBEZ (KYBErnetická Bezpečnost), která vám zprostředkuje kontakt na specialisty, zabývající se problémy ataků na ICT prostředí.
Pokud jste to ještě neudělali, zálohujte vše potřebné do cloudu, protože zálohování na síťové disky je zbytečné – viry typu ransomware totiž zašifrují všechny disky, připojené k počítači i v něm (systémový disk, další disky i externí disky), ale i disky síťové (tzv. NAS). Jedinou obranou je zálohování na disky NAS, které používají svůj operační systém, který je odolný (nebo spíše může být více odolný) vůči účinkům řádění viru, typicky jde o disky Synology, používající systém DiskStation Manager. Uložením záloh do tohoto systému způsobí, že můžete vyvolat z několika předchozích záloh tu správnou, ještě nezašifrovanou – a pomocí ní obnovit důležitá data na vašem počítači.
Další radou je použít systémy společnosti Acronis, jako je True Image nebo pro větší firmy používaný Acronis Backup nyní ve verzi 12.5. Oba systémy používají velmi silný oceněný systém ochrany právě proti ransomwaru, který dokáže detekovat činnost tohoto zlodějského systému a deaktivovat jeho řádění už při prvních pokusech o šifrování souborů.
Další možností je kontaktování firem, zabývajících se bojem s viry a infiltracemi, které vám mohou poradit, jak postupovat dále. Pokud stihnete jejich řešení ještě nasadit před útokem, je dost možné, že tyto systémy dokážou poznat činnost ransomwaru (principem jejich činnosti je totiž to, že vezmou soubor, zašifrují jej a zpětně uloží pod jiným názvem, to učiní až několik set až několika tisíckrát v jedné minutě, takže systémy pak poznají, že tuto činnost neprovádíte vy – jak byste mohli v jedné minutě modifikovat třeba tři třicet tisíc souborů, že? –, ale jde o atak ransomwaru). Tak můžete odstínit důsledky řádění těchto virů.
A když už nastane situace, kdy se vám na obrazovce objeví informace o tom, že máte zaplatit výpalné, ještě není pozdě. Pokud chcete, konzultujte následující kroky s odborníky, neplaťte ihned, i když jste v časové tísni. Odborníci vám pak mohou doporučit, jak se zachovat a zda je vůbec možné počítač a zašifrované soubory odblokovat a zda je možné ještě něco zachránit – bez placení.
A na závěr ještě jedna perslička z konference Security 2017, kde jsme se dozvěděli, že platba probíhá v bitcoinech. To ale není nic nového. Nicméně zloději už mají zřízeny hot-line na radu, jak tento obnos převést na jejich účet. Takže vám dokážou třeba i česky poradit, jak to provést, pokud to provést chcete. Počítajte ale stále s prvklem nejistoty, že vám (jako tomu bylo u WannaCry) nebudou soubory odblokovány (tedy ne vždy a všechny). A pokud řešíte problém poněkolikáté, nebo pro více počítačů, dle řečníků na Security 2017 vám zloději jsou ochotni nabídnout slevu. Říkejme tomu sleva za vaši blbost, i když se může zdát, že jste v tom nevinně.