Hlavní navigace

Nová Petya nevydírá, prostě jen ničí, data nebylo v plánu obnovit

Petr Krčmář

Světem otřásá další vlna vyděračského malware, který obětem zašifruje disk a požaduje výkupné. Ukázalo se ale, že ve skutečnosti jde jen o zástěrku a data není možné vůbec obnovit. Není to vyděrač, je to zabiják.

V úterý se světem rozběhla nová forma malware Petya, který využívá známou zranitelnost, přepisuje MBR a při falešné kontrole disku po restartu pak zašifruje veškerá data. Nakonec zobrazí vyděračskou zprávu, podle které stačí zaplatit na bitcoinovou peněženku pouhých 300 dolarů, tedy asi 7000 korun, a vyděrači vám ochotně vaše data obnoví. Dokonce takovou službu výslovně garantují.

Ošklivý kus kódu

Malware zvaný NewPetya nebo také Petwrap už napadl velké firmy, banky, elektrárny zejména v Rusku a na Ukrajině, ale také ve Španělsku, Francii, Británii, Indii a dalších částech světa. Nevyhnul se pochopitelně ani Česku. Využívá stejnou útočnou techniku EternalBlue jako starší WannaCry a navíc přidává EternalRomance, zranitelnost portu 445. Detaily šíření popisuje Kaspersky Lab.

Malware pak v napadeném počítači čeká několik desítek minut, poté je počítač restartován a během startu proběhne zákeřná akce: falešná kontrola disku zašifruje veškeré NTFS oddíly a MBR je přepsán vlastním zavaděčem s vyděračskou hláškou.

Odborníci si velmi rychle všimli toho, že se všem postiženým uživatelům objevuje stejná hláška se stejnými údaji a dokonce stejnou e-mailovou adresou wowsmith123456@posteo.net. Považovali to za nedotaženost této kampaně, protože adresa byla útočníkům velmi rychle odstřižena provozovatelem e-mailového serveru a tím byla znemožněna komunikace s útočníky.

Ukázalo se ale, že to vůbec není neschopností autorů.

Obnova dat nebyla nikdy v plánu

Nová forma malware Petya se totiž jenom tváří jako ransomware. Ve skutečnosti útočníci nikdy neměli v plánu s nikým komunikovat a za výkupné obnovovat data. E-mailová adresa je jen součástí kamufláže, aby uživatelé měli pocit, že to může vyjít. Vše se tváří „důvěryhodně“ včetně nutnosti zaslat identifikační klíč disku, což je technika známá z dřívějších ransomwarových kampaní. Uživatelé jsou při setkání s takovými informacemi ochotnější poslat peníze. Nic za ně ale nedostanou.

Nová Petya totiž není vyděračským malware, ale podle nejnovějších analýz jen ničí data bez možnosti jejich obnovy. Matt Suiche ze společnosti Comae Technologies kód analyzoval a zjistil, že nová varianta malware si nikam neukládá původní šifrovanou podobu MBR, ale prostě ji smaže.


Matt Suiche, Comae Technologies

Vlevo nová varianta ničící data, vpravo původní šifrující

Vlastně tak už není co obnovovat, protože původní obsah disku je zašifrován a MBR je pryč. I kdyby měli tedy autoři chuť vám po zaplacení pomoci, nemají jak. Spekuluje se, zda jde o úmysl či o chybu, ale změna v kódu je tak razantní, že se můžeme spíše přiklonit k úmyslu. Útočníkům je to jednoduše fuk, potřebují peníze, zbytek je nezajímá.

Podívejte se, jak vypadají obrazovky počítačů po napadení ransomware:

Vyšlo jim to, vydělali

Nejsmutnější na celém případu je, že se celá akce podařila a útočníci vydělali. Podle záznamů v bitcoinové peněžence přistálo v době psaní článku 45 plateb v celkové hodnotě 4 bitcoiny. Útočníci si tak přišli v přepočtu na více než 230 000 korun.

Je to jen další potvrzení toho, že vyděračům se platit nemá. Jednak to podporuje jejich byznys, ale především nemáte jistotu, že za své peníze něco dostanete. V tomto konkrétní případě máte naopak jistotu, že vám zůstanou jen zašifrovaná data pro pláč.

Je tu ale i druhá varianta, kterou zmiňuje i Matt Suiche. Totiž že jde jen kouřovou clonu, která má zakrýt nějaký další větší útok, třeba v rámci testování kybernetické války nebo jiné závažné zprávy.

Našli jste v článku chybu?