Ongebruikelijke ransomware-malware. Petya ransomware is een goede oude locker, die onlangs is vervangen door ransomware. Maar Petya blokkeert niet alleen het bureaublad of browservenster, het voorkomt ook dat het besturingssysteem überhaupt wordt geladen. In het losgeldbericht staat dat de malware een “militair versleutelingsalgoritme” gebruikt en de hele harde schijf in één keer versleutelt.
In het recente verleden waren lockers (ook wel blokkers genoemd) een veel voorkomende vorm van malware. Sommigen van hen blokkeerden het bureaublad, anderen alleen het browservenster, maar ze eisten allemaal losgeld van het slachtoffer om de toegang te herstellen. Lockers zijn vervangen door encryptors die niet alleen gegevens blokkeren, maar deze ook versleutelen, waardoor de kans op het betalen van losgeld aanzienlijk wordt vergroot.
De specialisten van G DATA ontdekten echter een nieuw exemplaar van een kluisje dat zichzelf Petya noemt. In het losgeldbericht stelt de malware dat het de functies van een blocker en een encryptor tegelijk combineert.
Phishing-e-mail naar HR-specialist
Petya valt vooral HR-professionals aan. Om dit te doen, sturen aanvallers zeer gerichte phishing-e-mails. De berichten zijn zogenaamd cv's van kandidaten voor welke functie dan ook. De brieven gaan vergezeld van een link naar het volledige portfolio van de aanvrager, waarvan het bestand wordt gehost op Dropbox. Natuurlijk bevat de link in plaats van een portfolio malware: het bestand application_portfolio-packed.exe (vertaald uit het Duits).
Valse portefeuille Het uitvoeren van dit .exe-bestand zorgt ervoor dat het systeem crasht in het “blauwe scherm van de dood” en vervolgens opnieuw opstart. G DATA-experts zijn van mening dat de malware vóór het opnieuw opstarten de werking van de MBR verstoort om zo de controle over het opstartproces over te nemen.
Valse CHKDSK Na het opnieuw opstarten van de computer ziet het slachtoffer een imitatie van een schijfcontrole (CHKDSK), waarna het computerscherm helemaal niet het besturingssysteem laadt, maar het Petya-vergrendelscherm. De ransomware informeert het slachtoffer dat alle gegevens op hun harde schijven zijn gecodeerd met behulp van een ‘militair versleutelingsalgoritme’ en niet kunnen worden hersteld.
Om de toegang tot het systeem te herstellen en gegevens te decoderen, moet het slachtoffer losgeld betalen door naar de website van de aanvaller in de .onion-zone te gaan. Als de betaling niet binnen 7 dagen plaatsvindt, wordt het losgeldbedrag verdubbeld. De aanvaller krijgt een speciale ‘decoderingscode’ aangeboden om van te ‘kopen’, die rechtstreeks op het lockerscherm moet worden ingevoerd.
G DATA-specialisten schrijven dat ze nog niet helemaal begrijpen hoe Petya werkt, maar vermoeden dat de malware simpelweg liegt over data-encryptie. Hoogstwaarschijnlijk blokkeert de malware eenvoudigweg de toegang tot bestanden en voorkomt dat het besturingssysteem wordt geladen. Deskundigen raden ten stelligste af om losgeld te betalen aan aanvallers en beloven in de nabije toekomst bijgewerkte informatie over de dreiging te publiceren.
Je kunt “Petya” in actie zien in de onderstaande video.
Op 27 juni werden Oekraïense overheidsinstanties en particuliere bedrijven getroffen door een ransomware-virus genaamd Petya.A. Het kabinet van ministers, Oschadbank, Ukrenergo, Nova Poshta, Boryspil Airport, de kerncentrale van Tsjernobyl en andere organisaties werden onderworpen aan een cyberaanval. "GORDON" vertelt hoe het Petya.A-virus werkt en of het mogelijk is om jezelf ertegen te beschermen.
Foto: Evgeny Boroday / VKontakte
Denis KONDAKWat is Petya.A?
Dit is een “ransomware-virus” dat gegevens op een computer codeert en $300 vraagt voor de sleutel om deze te decoderen. Het begon op 27 juni rond het middaguur Oekraïense computers te infecteren en verspreidde zich vervolgens naar andere landen: Rusland, Groot-Brittannië, Frankrijk, Spanje, Litouwen, enz. Er staat nu een virus op de website van Microsoft heeft ‘ernstig’ dreigingsniveau.
De infectie is te wijten aan dezelfde kwetsbaarheid in Microsoft Windows als in het geval van het WannaCry-virus, dat in mei duizenden computers over de hele wereld infecteerde en bedrijven voor ongeveer $ 1 miljard schade veroorzaakte.
De cyberpolitie meldde 's avonds dat de virusaanval bedoeld was voor elektronische aangifte en documentbeheer. Volgens wetshandhavers werd om 10.30 uur de volgende M.E.Doc-update uitgebracht, met behulp waarvan kwaadaardige software naar computers werd gedownload.
Petya werd via e-mail verspreid, vermomd als het cv van een werknemer. Als iemand een cv probeerde te openen, vroeg het virus hem beheerdersrechten te geven. Als de gebruiker ermee instemde, werd de computer opnieuw opgestart, waarna de harde schijf werd gecodeerd en er verscheen een venster waarin om ‘losgeld’ werd gevraagd.
VIDEO
Petya-virusinfectieproces. Video: G DATA Software AG / YouTube
Tegelijkertijd had het Petya-virus zelf een kwetsbaarheid: het was mogelijk om met een speciaal programma de sleutel te verkrijgen om gegevens te decoderen. Deze methode werd in april 2016 beschreven door Geektimes-redacteur Maxim Agadzhanov.
Sommige gebruikers geven er echter de voorkeur aan het losgeld te betalen. Volgens een van de bekende Bitcoin-wallets hebben de makers van het virus 3,64 bitcoins ontvangen, wat overeenkomt met ongeveer $9.100.
Wie wordt getroffen door het virus?
In Oekraïne waren de slachtoffers van Petya.A vooral zakelijke klanten: overheidsinstanties, banken, media, energiebedrijven en andere organisaties.
Onder meer de volgende ondernemingen werden getroffen: Nova Poshta, Ukrenergo, OTP Bank, Oschadbank, DTEK, Rozetka, Boris, Ukrzaliznytsia, TNK, Antonov, Epicenter, Channel 24, en ook de luchthaven Boryspil, het kabinet van ministers van Oekraïne, de staat Fiscale Dienst en anderen.
De aanval verspreidde zich ook naar de regio's. Bijvoorbeeld, n en bij de kerncentrale van Tsjernobyl stopte het elektronische documentbeheer als gevolg van een cyberaanval en schakelde het station over op handmatige monitoring van de stralingsniveaus. In Kharkov werd de exploitatie van de grote Rost-supermarkt geblokkeerd en op de luchthaven werd het inchecken voor vluchten overgeschakeld naar de handmatige modus.
Door het Petya.A-virus werkten de kassa's van supermarkt Rost niet meer. Foto: Kh...evy Kharkov / VKontakte
Volgens de publicatie werden in Rusland de bedrijven Rosneft, Bashneft, Mars, Nivea en anderen aangevallen.
Hoe bescherm je jezelf tegen Petya.A?
Instructies over hoe u uzelf tegen Petya.A kunt beschermen, zijn gepubliceerd door de veiligheidsdienst van Oekraïne en de cyberpolitie.
De cyberpolitie adviseert gebruikers om Windows-updates te installeren vanaf de officiële Microsoft-website, een antivirusprogramma te updaten of te installeren, geen verdachte bestanden uit e-mails te downloaden en de computer onmiddellijk los te koppelen van het netwerk als er onregelmatigheden worden opgemerkt.
De SBU benadrukte dat bij verdenking de computer niet opnieuw kan worden opgestart, omdat bestandsversleuteling juist tijdens het opnieuw opstarten plaatsvindt. De inlichtingendienst adviseerde Oekraïners waardevolle bestanden op een apart medium te bewaren en een reservekopie van het besturingssysteem te maken.
Cybersecurity-expert Vlad Styran schreef op Facebook dat de verspreiding van het virus op een lokaal netwerk kan worden gestopt door de TCP-poorten 1024-1035, 135, 139 en 445 in Windows te blokkeren. Op internet staan instructies hoe u dit kunt doen.
Specialisten van het Amerikaanse bedrijf Symantec
Het Petya-virus is een andere ransomware die gebruikersbestanden blokkeert. Deze ransomware kan zeer gevaarlijk zijn en elke pc infecteren, maar het belangrijkste doelwit zijn bedrijfscomputers.
Dit wordt besproken op de website Bedynet.ru
Deze malware dringt de computers van het slachtoffer binnen en voert zijn activiteiten heimelijk uit, waardoor de computer mogelijk gevaar loopt. Petya codeert bestanden met RSA-4096- en AES-256-algoritmen en wordt zelfs voor militaire doeleinden gebruikt. Een dergelijke code kan niet worden gedecodeerd zonder een privésleutel. Net als andere ransomware zoals het Locky-virus, CryptoWall-virus en CryptoLocker, wordt deze privésleutel opgeslagen op een externe server, waartoe alleen toegang kan worden verkregen door losgeld te betalen aan de maker van het virus.
In tegenstelling tot andere ransomware wordt uw computer onmiddellijk opnieuw opgestart zodra dit virus actief is, en wanneer het opnieuw opstart, verschijnt er een bericht op het scherm: "ZET UW PC NIET UIT! ALS U DIT PROCES STOPT, KAN U AL UW GEGEVENS VERNIETIGEN! "ZORG ERVOOR DAT UW COMPUTER IS AANGESLOTEN OP DE OPLADER!"
Hoewel dit op een systeemfout lijkt, voert Petya in werkelijkheid stilletjes encryptie uit in stealth-modus. Als de gebruiker probeert het systeem opnieuw op te starten of de bestandscodering te stoppen, verschijnt er een knipperend rood skelet op het scherm, samen met de tekst 'Druk op een willekeurige toets'.
Ten slotte verschijnt er na het indrukken van de toets een nieuw venster met een losgeldbrief. In dit briefje wordt het slachtoffer gevraagd 0,9 bitcoins te betalen, wat ongeveer $400 is. Deze prijs geldt echter slechts voor één computer; Voor bedrijven met veel computers kan het bedrag daarom in de duizenden lopen. Wat deze ransomware ook onderscheidt, is dat u een volledige week de tijd krijgt om het losgeld te betalen, in plaats van de gebruikelijke 12-72 uur die andere virussen in deze categorie geven.
Bovendien houden de problemen met Petya daar niet op. Zodra dit virus het systeem binnendringt, zal het proberen de Windows-opstartbestanden, of de zogenaamde Boot Writer, te herschrijven die nodig zijn om het besturingssysteem op te starten. U kunt het Petya-virus niet van uw computer verwijderen, tenzij u de Master Boot Recorder (MBR)-instellingen herstelt. Zelfs als u erin slaagt deze instellingen te corrigeren en het virus van uw systeem te verwijderen, blijven uw bestanden helaas gecodeerd omdat het verwijderen van virussen de bestanden niet decodeert, maar eenvoudigweg de besmettelijke bestanden verwijdert. Uiteraard is het verwijderen van het virus belangrijk als je verder wilt werken met je computer. We raden u aan betrouwbare antivirusprogramma's zoals Reimage te gebruiken om de verwijdering van Petya te regelen.
Hoe verspreidt dit virus zich en hoe kan het een computer binnendringen?
Het Petya-virus wordt meestal verspreid via spam-e-mails die Dropbox-downloadlinks bevatten voor een bestand met de naam 'folder-gepackt.exe-toepassing'. Het virus wordt geactiveerd wanneer een specifiek bestand wordt gedownload en geopend. Omdat u al weet hoe dit virus zich verspreidt, zou u enkele ideeën moeten hebben over hoe u uw computer tegen virusaanvallen kunt beschermen. Natuurlijk moet u voorzichtig zijn met het openen van elektronische bestanden die zijn verzonden door verdachte gebruikers en onbekende bronnen die informatie bevatten die niet is wat u verwacht.
Vermijd ook e-mails die in de categorie 'spam' vallen, aangezien de meeste e-mailserviceproviders e-mails automatisch filteren en in de juiste mappen plaatsen. U moet deze filters echter niet vertrouwen, omdat potentiële bedreigingen er doorheen kunnen glippen. Zorg er ook voor dat uw systeem is voorzien van een betrouwbaar antivirusprogramma. Ten slotte wordt het altijd aanbevolen om back-ups op een externe schijf te bewaren in geval van gevaarlijke situaties.
Hoe kan ik het Petya-virus van mijn pc verwijderen?
U kunt Petya niet van uw computer verwijderen met een eenvoudige deïnstallatieprocedure, omdat dit niet werkt met deze malware. Dit betekent dat u dit virus automatisch moet verwijderen. Automatische verwijdering van het Petya-virus moet worden uitgevoerd met behulp van een betrouwbaar antivirusprogramma dat dit virus van uw computer zal detecteren en verwijderen. Als u echter problemen ondervindt bij het verwijderen, bijvoorbeeld omdat dit virus uw antivirusprogramma blokkeert, kunt u altijd de verwijderingsinstructies raadplegen.
Stap 1: Start uw computer opnieuw op voor de veilige modus met netwerkmogelijkheden
Windows 7/Vista/XP Klik op Start → Afsluiten → Opnieuw opstarten → OK.
Selecteer Veilige modus met netwerkmogelijkheden in de lijst
Windows 10 / Windows 8 Klik in het Windows-inlogvenster op de aan/uit-knop. Houd vervolgens de Shift-toets ingedrukt en klik op Opnieuw opstarten.
Selecteer nu Problemen oplossen → Geavanceerde opties → Opstartinstellingen en klik op Opnieuw opstarten.
Wanneer uw computer actief wordt, selecteert u in het venster Opstartinstellingen Veilige modus met netwerkmogelijkheden inschakelen.
Stap 2: Verwijder Petya
Log in met uw geïnfecteerde account en start uw browser. Download Reimage of een ander betrouwbaar antispywareprogramma. Update het voordat u gaat scannen en verwijder kwaadaardige bestanden die verband houden met de ransomware en voltooi de verwijdering van Petya.
Als ransomware de Veilige modus met netwerkmogelijkheden blokkeert, probeer dan de volgende methode.
Stap 1: Start uw computer opnieuw op voor de veilige modus met opdrachtprompt
Windows 7/Vista/XP
Klik op Start → Afsluiten → Opnieuw opstarten → OK.
Zodra uw computer actief is, drukt u meerdere keren op F8 totdat het venster Geavanceerde opstartopties verschijnt.
Selecteer Opdrachtprompt in de lijst
Typ nu rstrui.exe en druk nogmaals op Enter.
Wanneer een nieuw venster verschijnt, klikt u op Volgende en selecteert u uw herstelpunt van vóór de Petya-infectie. Klik daarna op Volgende. In het venster "Systeemherstel" dat verschijnt, selecteert u "Volgende"
Selecteer uw herstelpunt en klik op "Volgende"
Klik nu op Ja om het systeemherstel te starten. Klik op "Ja" en begin met Systeemherstel. Zodra u uw systeem naar een eerdere datum hebt hersteld, start u uw computer op en scant u deze om er zeker van te zijn dat de verwijdering succesvol is geweest.
"Je hoeft geen geld te betalen." InAU verklaard.
De aanval van het Petya-virus kwam voor inwoners van veel landen als een onaangename verrassing. Duizenden computers raakten geïnfecteerd, waardoor gebruikers belangrijke gegevens op hun harde schijven verloren.
Natuurlijk is de hype rond dit incident nu verdwenen, maar niemand kan garanderen dat dit niet meer zal gebeuren. Daarom is het erg belangrijk om uw computer te beschermen tegen mogelijke bedreigingen en geen onnodige risico's te nemen. Hoe u dit het meest effectief kunt doen, wordt hieronder besproken.
Gevolgen van de aanval
Om te beginnen moeten we onthouden tot welke gevolgen de kortstondige activiteit van Petya.A leidde. Binnen een paar uur werden tientallen Oekraïense en Russische bedrijven getroffen. In Oekraïne was trouwens het werk van de computerafdelingen van instellingen als Dneprenergo, Nova Poshta en Kiev Metro vrijwel volledig lamgelegd. Bovendien waren sommige overheidsorganisaties, banken en mobiele operators niet beschermd tegen het Petya-virus.
Ook in de landen van de Europese Unie zorgde de ransomware voor veel overlast. Franse, Deense, Engelse en internationale bedrijven hebben tijdelijke operationele verstoringen gemeld als gevolg van de Petya-computervirusaanval.
Zoals u kunt zien, is de dreiging werkelijk ernstig. En ook al kozen de aanvallers grote financiële organisaties als hun slachtoffers, de gewone gebruikers leden er niet minder onder.
Hoe werkt Petya?
Om te begrijpen hoe u uzelf tegen het Petya-virus kunt beschermen, moet u eerst begrijpen hoe het werkt. Eenmaal op de computer downloadt de malware dus een speciale ransomware van internet, die de Master Boot Record infecteert. Dit is een apart gebied op de harde schijf, verborgen voor de ogen van de gebruiker en bedoeld voor het laden van het besturingssysteem.
Voor de gebruiker lijkt dit proces op de standaardwerking van het Check Disk-programma na een plotselinge systeemcrash. De computer start plotseling opnieuw op en er verschijnt een bericht op het scherm waarin wordt gevraagd de harde schijf op fouten te controleren en u te vragen de stroom niet uit te schakelen.
Zodra dit proces ten einde is, verschijnt er een screensaver met informatie over de geblokkeerde computer. De maker van het Petya-virus eist van de gebruiker dat hij een losgeld van $ 300 (meer dan 17,5 duizend roebel) betaalt, en belooft in ruil daarvoor de sleutel te sturen die nodig is om de werking van de pc te hervatten.
Preventie
Het is logisch dat het veel gemakkelijker is om infectie met het Petya-computervirus te voorkomen dan om later met de gevolgen ervan om te gaan. Om uw pc te beveiligen:
- Installeer altijd de nieuwste updates voor uw besturingssysteem. Hetzelfde geldt in principe voor alle software die op uw pc is geïnstalleerd. Overigens kan "Petya" geen schade toebrengen aan computers met MacOS en Linux.
- Gebruik de nieuwste versies van de antivirus en vergeet niet de database bij te werken. Ja, het advies is banaal, maar niet iedereen volgt het op.
- Open geen verdachte bestanden die per e-mail naar u zijn verzonden. Controleer ook altijd apps die zijn gedownload van dubieuze bronnen.
- Maak regelmatig een back-up van belangrijke documenten en bestanden. Het beste is om ze op een apart medium of in de “cloud” op te slaan (Google Drive, Yandex. Disk, etc.). Hierdoor wordt waardevolle informatie niet beschadigd, zelfs als er iets met uw computer gebeurt.
Een stopbestand maken
Ontwikkelaars van toonaangevende antivirusprogramma's hebben ontdekt hoe ze het Petya-virus kunnen verwijderen. Meer precies, dankzij hun onderzoek konden ze begrijpen dat de ransomware in de beginfase van de infectie een lokaal bestand op de computer probeert te vinden. Als het hem lukt, werkt het virus niet meer en is het niet schadelijk voor de pc.
Simpel gezegd kunt u handmatig een soort stopbestand maken en zo uw computer beschermen. Om dit te doen:
- Open de instellingen voor Mapopties en schakel 'Extensies voor bekende bestandstypen verbergen' uit.
- Maak een nieuw bestand met Kladblok en plaats het in de map C:/Windows.
- Hernoem het gemaakte document en noem het "perfc". Ga vervolgens naar en schakel de optie Alleen lezen in.
Nu zal het Petya-virus, eenmaal op uw computer, deze niet meer kunnen beschadigen. Maar houd er rekening mee dat aanvallers het kwaadaardige programma in de toekomst kunnen wijzigen en dat de methode voor het maken van een stopbestand ineffectief zal worden.
Als er al een infectie heeft plaatsgevonden
Wanneer de computer vanzelf opnieuw opstart en Check Disk start, begint het virus net met het coderen van bestanden. In dit geval kunt u nog tijd hebben om uw gegevens op te slaan door deze stappen te volgen:
- Schakel onmiddellijk de stroom naar de pc uit. Alleen zo kun je de verspreiding van het virus voorkomen.
- Vervolgens moet u uw harde schijf op een andere pc aansluiten (niet als opstartschijf!) en daar belangrijke informatie van kopiëren.
- Hierna moet u de geïnfecteerde harde schijf volledig formatteren. Uiteraard moet u dan het besturingssysteem en andere software erop opnieuw installeren.
Bovendien kunt u proberen een speciale opstartschijf te gebruiken om het Petya-virus te genezen. Kaspersky Anti-Virus biedt voor deze doeleinden bijvoorbeeld het programma Kaspersky Rescue Disk, dat het besturingssysteem omzeilt.
Is het de moeite waard om aan afpersers te betalen?
Zoals eerder vermeld, eisen de makers van Petya een losgeld van $300 van gebruikers van wie de computers zijn geïnfecteerd. Volgens de afpersers krijgen de slachtoffers na betaling van het gespecificeerde bedrag een sleutel toegestuurd waarmee de blokkering van informatie wordt geëlimineerd.
Het probleem is dat een gebruiker die zijn computer weer normaal wil maken, de aanvallers per e-mail moet schrijven. Alle ransomware-e-mails worden echter snel geblokkeerd door geautoriseerde diensten, dus het is simpelweg onmogelijk om contact met hen op te nemen.
Bovendien zijn veel toonaangevende ontwikkelaars van antivirussoftware ervan overtuigd dat het volkomen onmogelijk is om een computer die met Petya is geïnfecteerd met welke code dan ook te ontgrendelen.
Zoals u waarschijnlijk begrijpt, mag u afpersers niet betalen. Anders blijft u niet alleen achter met een niet-werkende pc, maar verliest u ook een groot bedrag.
Komen er nieuwe aanvallen?
Het Petya-virus werd voor het eerst ontdekt in maart 2016. Toen merkten beveiligingsspecialisten de dreiging snel op en voorkwamen ze de massale verspreiding ervan. Maar al eind juni 2017 herhaalde de aanval zich opnieuw, wat tot zeer ernstige gevolgen leidde.
Het is onwaarschijnlijk dat alles daar zal eindigen. Ransomware-aanvallen zijn niet ongewoon, dus het is belangrijk om uw computer te allen tijde te beschermen. Het probleem is dat niemand kan voorspellen in welk formaat de volgende infectie zal plaatsvinden. Hoe het ook zij, het is altijd de moeite waard om de eenvoudige aanbevelingen in dit artikel op te volgen om de risico's tot een minimum te beperken.
Bedrijven over de hele wereld werden op dinsdag 27 juni getroffen door een grootschalige cyberaanval van malware die via e-mail werd verspreid. Het virus versleutelt gebruikersgegevens op harde schijven en perst geld af in bitcoins. Velen besloten meteen dat dit het Petya-virus was, dat in het voorjaar van 2016 werd beschreven, maar antivirusfabrikanten denken dat de aanval plaatsvond vanwege andere, nieuwe malware.
Een krachtige hackeraanval op de middag van 27 juni trof eerst Oekraïne, en daarna verschillende grote Russische en buitenlandse bedrijven. Het virus, dat door velen werd aangezien voor Petya van vorig jaar, verspreidt zich op computers met het Windows-besturingssysteem via een spam-e-mail met een link die, wanneer erop wordt geklikt, een venster opent waarin om beheerdersrechten wordt gevraagd. Als de gebruiker het programma toegang geeft tot zijn computer, begint het virus geld van de gebruiker te eisen - $300 in bitcoins, en het bedrag verdubbelt na enige tijd.
Het Petya-virus, begin 2016 ontdekt, verspreidde zich volgens precies hetzelfde patroon, waardoor veel gebruikers besloten dat dit het was. Maar experts van antivirussoftware-ontwikkelingsbedrijven hebben al verklaard dat een ander, volledig nieuw virus, dat ze nog zullen bestuderen, verantwoordelijk is voor de aanval die heeft plaatsgevonden. Experts van Kaspersky Lab hebben dat al gedaan gegeven onbekende virusnaam - NotPetya.
Volgens onze voorlopige gegevens gaat het niet om het Petya-virus, zoals eerder vermeld, maar om een nieuwe, voor ons onbekende malware. Daarom noemden we het NotPetya.
Er zullen twee tekstvelden zijn met de titel Base64-gecodeerde 512 bytes verificatiegegevens en Base64-gecodeerde 8 bytes nonce. Om de sleutel te ontvangen, moet u de door het programma geëxtraheerde gegevens in deze twee velden invoeren.
Het programma geeft een wachtwoord af. U moet het invoeren door de schijf te plaatsen en het virusvenster te zien.
Slachtoffers van een cyberaanval
Oekraïense bedrijven leden het meest onder het onbekende virus. De computers van de luchthaven Boryspil, de Oekraïense overheid, winkels, banken, media- en telecommunicatiebedrijven waren besmet. Hierna bereikte het virus Rusland. De slachtoffers van de aanval waren Rosneft, Bashneft, Mondelez International, Mars, Nivea.
Zelfs enkele buitenlandse organisaties meldden problemen met IT-systemen als gevolg van het virus: het Britse reclamebedrijf WPP, het Amerikaanse farmaceutische bedrijf Merck & Co, de grote Deense vrachtvervoerder Maersk en anderen. Costin Raiu, hoofd van het internationale onderzoeksteam van Kaspersky Lab, schreef hierover op zijn Twitter.
Petrwrap/Petya ransomware-variant met contact [e-mailadres beveiligd] zich verspreidt, wereldwijd een groot aantal getroffen landen.
