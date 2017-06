Esiteks paistavad enamus eksperte nõustuvat, et lunavara kasutab oma töös USA riikliku julgeolekuagentuuri NSA poolt välja arendatud küberrelva EternalBlue, mis varastati nende käest häkkerite grupi Shadow Brokers poolt ja mida kasutas ka WannaCry. Küll aga ei ole EternalBlue uue viiruse arsenalis ainus relv, sest pärast WannaCry rünnakut on paljud süsteemid selle eest kaitstud.

Kui WannaCry ründas uuendamata ja vähe turvatud süsteeme, siis uus viirus paistab ilma eriliste probleemideta laastavat ka hästi turvatud suurkorporatsioonide võrke. Väljaande The Verge andmetel kasutab lunavara võrgu sees levimiseks Windowsi võrgutööriistu nagu Windows Management Instrumentation (WMI) ja PsExec. Mõlemad funktsioonid tegelevad kaugpääsu haldamisega.

Teiseks on mitmed küberturbega tegelevad ettevõtted spekuleerinud, et tegu võib olla versiooniga lunavarast nimega Petya. Küll aga ütles Karspersky Lab'i uurja Costin Raiu väljaandele, Motherboard, et nende andmetel pole tegu siiski Petyaga, vaid hoopiski millegi uuega. Seega on nad andnud viirusele hetkel hüüdnime NotPetya.

Talos Intelligence, kes on andnud uuele viirusele nimeks Nyetya, kirjutab oma blogis, et viirus on mitme ründevektoriga (eelmainitud EternalBlue, WMI ja PsExec), kuid esimene vektor võis olla tarkvaraline uuendus Ukraina raamatupidamisprogrammile MeDoc ja hakkas sealt edasi levima. MeDoc ise on seda väidet eitanud.

Securelist toob välja, et viirus ootab peale arvuti nakatamist kusagil 10-60 minutit ja taaskäivitab siis arvuti. Taaskäivitamine ajastatakse kasutades süsteemitööriistu nagu "at", "schtasks" ja "shutdown.exe". Peale taaskäivitamist alustab viirus NTFS failihaldussüsteemi põhitabeli krüpteerimist. Põhitabelis hoitakse kogu vaja minevat infot failide kohta (nt faili suurus, loomise kellaeg, ligipääsu load jne). Lisaks kirjutab viirus peabuutsektori üle lunarahanõudega

Krebs on Security blogi spekuleerib, et lunavara tegelikuks eesmärgiks ei pruugigi olla raha kogumine. Lunaraha võib olla ainult maskeering ja tegelikuks eesmärgiks on hoopis testida, kui palju kahju on võimalik tekitada. Nimelt ei ole lunaraha tasumise võimalused just kõige paremini läbi mõeldud. Nimelt tahab viirus, et selle ohvrid suhtleks häkkeritega ühe kindla e-maili aadressi kaudu, mis ei ole just kõige jätkusuutlikum lahendus, sest maili haldaja lasi selle kinni panna. Nüüd ei olegi ohvritel võimalik ligipääsu oma arvutile tagasi saada.

F-Secure tugikeskuse juhataja Raido Orumets ütles pressiteates, et käesolev pahavara epideemia on professionaalsemalt teostatud ning ettevõtetele ohtlikum võrreldes hiljutise Wannacry epideemiaga. «F-Secure laborid on teinud kindlaks, et hetkel leviv pahavara kuulub Petya krüptovara perekonda. See suudab iseseisvalt levida ning kasutab sama turvanõrkust, mida kasutas ka Wannacry,» kirjutas Orumets.

Erinevalt Wannacryst ei krüpteerita Orumetsa sõnul mitte ainult failid, vaid suletakse ligipääs tervele kettale. Lunarahanõude suurus on 300 USA dollarit ning hetkel puudub kinnitus, et tasumise järgselt oleks andmetele ligipääs taastatud.

«Ettevõtted peavad kindlasti lähipäevil olema eriti ettevaatlikud. Nagu ka Wannacry puhul jäävad soovitused samaks. IT administraatorid peavad veenduma, et Windows operatsioonisüsteemid oleksid uuendatud, tulemüürid seadistatud võimalusel blokeerima port 445’st sisenevat liiklust ning veenduma, et infoturbetarkvara oleks töökorras,» rõhutas Orumets.

Tugikeskuse juht täpsustas Postimehele, et info on hetkel siiski vastukäiv ja viirustelaborid üle kogu maailma püüavad viiruse osas selgusele jõuda. F-Secure usub siiski, et tegu on Petya tüüpi viirusega.