Företag har varit lamslagen av en attack kallas “Petya’, den andra stora ransomware brottslighet i två månader. Olivia Solon svar på viktiga frågor
@oliviasolon
e-post
Onsdag 28 juni 2017 07.17 BST
Först publicerades den onsdag 28 juni 2017 01.24 BST
Många organisationer i Europa och USA har varit lamslagen av en ransomware attack som kallas “Petya”. Skadlig programvara som sprids via stora företag, inklusive annonsören WPP, mat bolaget Mondelez, advokatbyrå DLA Piper och danska frakt och transport företaget Maersk, som leder till Datorer och data låses upp och hålls för lösen.
Det är den andra stora globala ransomware attack under de senaste två månaderna. I början av Maj, Storbritanniens National Health Service (NHS) var bland de organisationer som smittade av WannaCry, som använde en sårbarhet första avslöjas för allmänheten som en del av en läckt stash av NSA-relaterade dokument ut på nätet i April av en hacker grupp som kallar sig Skuggan Mäklare.
‘Petya’ ransomware attack-slår till företag över hela Europa och USA
Läs mer
Den WannaCry eller WannaCrypt ransomware attack påverkas mer än 230.000 datorer i över 150 länder, med det BRITTISKA national health service, spanska telefonbolaget Telefónica och tyska statens järnvägar bland dem som är hårdast drabbade.
Som WannaCry, Petya sprider sig snabbt genom nätverk som använder Microsoft Windows, men vad är det, varför är det som händer och hur kan den stoppas?
Vad är ransomware?
Ransomware är en typ av skadlig kod som blockerar åtkomst till en dator eller dess data och kräver pengar för att släppa det.
Hur fungerar det?
När en dator är infekterad, ransomware krypterar viktiga dokument och filer, och sedan kräver en lösensumma, vanligtvis i Bitcoin, för en digital nyckel som behövs för att låsa upp filerna. Om offren inte har en aktuell säkerhetskopia av filerna måste de antingen betala lösen i ansiktet eller förlora alla sina filer.
Hur fungerar Petya ransomware arbete?
Den Petya ransomware tar över datorer och krav sek 300, betalas i Bitcoin. Skadliga program sprider sig snabbt över en organisation när en dator är infekterad med EternalBlue säkerhetsproblem i Microsoft Windows (Microsoft har släppt en korrigeringsfil, men inte alla kommer att ha installerat det) eller genom att två Windows administrationsverktyg. Skadlig kod försöker ett alternativ och om det inte fungerar, försöker den med nästa. “Det har en bättre mekanism för att sprida sig än WannaCry”, sade Ryan Kalember från it-företag Proofpoint.
Hackare publicerar privata bilder från kosmetisk kirurgi kliniken
Läs mer
Där började det?
Attacken verkar ha varit seedade genom en uppdatering av programvaran mekanism inbyggd i ett bokföringsprogram att företag som arbetar med den ukrainska regeringen behovet av att använda, enligt den ukrainska Cyber Polisen. Detta förklarar varför så många ukrainska organisationer drabbats, inklusive regeringen, banker, statliga bolag och Kievs flygplats och tunnelbana. Strålningen system för övervakning på Tjernobyl var också tas offline, tvingar anställda att använda handhållna mätare för att mäta nivåer på den gamla kärnkraftverk är säkerhetszon.
Hur långt har det spridit sig?
“Petya” ransomware har orsakat allvarliga störningar på stora företag i Europa och USA, inklusive den reklambyrå WPP, franska byggmaterial bolaget Saint-Gobain och ryska stål-och oljebolag Evraz och Rosneft. Maten företag som Mondelez, advokatbyrå DLA Piper, danska frakt och transport företag AP Moller-Maersk och Kulturarv Valley Hälso-System, som driver sjukhus och vårdinrättningar i Pittsburgh, sade också att deras system hade drabbats av skadlig kod.
Rederiet Maersk s IT-system påverkades av it-attack. Foto: Mauritz Antin/EPA
Så är detta bara en annan opportunistiska cybercriminal?
Det som inledningsvis såg ut som Petya var bara en annan cybercriminal dra nytta av cyberweapons läckt ut på nätet. Dock är experter på säkerhet säga att betalningsväsendet av attacken verkar för amatörmässiga för att ha utförts av grova brottslingar. För det första, lösen notering innehåller samma Bitcoin betalning adress för varje offer – mest ransomware skapar en anpassad adress för varje offer. För det andra, Petya ber för offren att kommunicera med angriparna via en enda e-postadress som har skjutits upp av e-postleverantören efter att de upptäckte vad det används för. Detta innebär att även om någon betalar lösen, de har inget sätt att kommunicera med angriparen att begära dekryptering nyckel för att låsa upp sina filer.
BRITTISKA energi-industri it-attack rädslor är “off the scale”
Läs mer
OK, så då vem som ligger bakom attacken?
Det är inte klart, men det verkar troligt att det är någon som vill ha malware för att maskera sig som ransomware, medan faktiskt bara vara destruktiva, särskilt för den ukrainska regeringen. Säkerhet forskaren Nicholas Weaver berättade för cybersäkerhet blogg Krebs på Säkerhet som Petya var en “avsiktlig, skadliga, destruktiva angrepp eller kanske ett test förklädd ransomware”.
Ukraina har anklagat Ryssland för tidigare it-attacker, bland annat en på sitt elnät i slutet av 2015 som lämnade en del av västra Ukraina tillfälligt utan el. Ryssland har vägrat att utföra cyber-attacker mot Ukraina.
Vad ska du göra om du påverkas av ransomware?
Den ransomware infekterar datorer och sedan väntar ungefär en timme innan du startar om maskinen. Medan maskinen är omstart, kan du slå på datorn för att förhindra att filerna krypteras och försöka rädda filer från maskinen, som flaggas av @HackerFantastic på Twitter.
Hacker Fantastiska
(@hackerfantastic)Om maskinen startar om och du ser detta meddelande, strömmen omedelbart! Detta är kryptering process. Om du inte effekt på filer som är fina. pic.twitter.com/IqwzWdlrX6
Juni 27, 2017
Om systemet startas om med gisslan anteckning, behöver inte betala lösen – “kund tjänsten” e-postadress har stängts så det finns inget sätt att få dekryptering nyckel för att låsa upp dina filer hur som helst. Koppla bort DATORN från internet, formatera hårddisken och installera om dina filer från en säkerhetskopia. Säkerhetskopiera dina filer regelbundet och håll din anti-virus program uppdaterade.