Ingen nødbremse og flere spredningsmekanismer: Derfor er nyt Petya værre end WannaCry

Ransomware-ormen Petya inficerer i øjeblikket virksomheder i hele verden, og malwaren benytter det samme NSA-exploit som WannaCry. Men Petya begår ikke de fejl, som gjorde det let at stoppe WannaCry-angrebet.

Artikel top billede

Store virksomheder over hele verden rammes i øjeblikket af ransomware-ormen Petya, og angrebet minder på flere måder om WannaCry, der i sidste måned hærgede systemer i mere end 150 lande.

Men hvor WannaCry var forholdsvis let at stoppe på grund af amatøragtig kodning, er Petya anderledes professionel.

En af de vigtigste forskelle på de to ransomware-typer er, at der tilsyneladende ikke er nogen såkaldt ”killswitch” indbygget i Petya.

Spredningen af WannaCry blev standset forholdsvis hurtigt, fordi en snarrådig sikkerhedsekspert opdagede, at malwaren hele tiden forsøgte at skabe kontakt til et specifikt inaktivt domæne.

Så længe domænet forblev inaktivt fortsatte WannaCry med at sprede sig, men da sikkerhedseksperten registrerede domænet, standsede det.

Desværre er der ingen tegn på, at hackerne bag Petya begår den slags fejl.

Spredt med ukrainsk skatte-software

En anden forskel, der gør Petya værre end WannaCry, er, at den nye ransomware-orm kan sprede sig på flere forskellige måder.

WannaCry var afhængig af det lækkede NSA-exploit EternalBlue, der udnytter en sårbarhed i SMB-protokollen på ikke-patchede Windows-systemer. Hvis du var sikret mod EternalBlue, var du i princippet sikret mod WannaCry.

Petya-ransomwaren gør også brug af NSA-værktøjet, men den kan også sprede sig uden.

Sikkerhedseksperter fra både Cisco og Kaspersky Lab har bekræftet, at Petya er blevet spredt via opdateringsfunktionen i et stykke regnskabs-software fra den Ukrainske virksomhed MeDoc.

Programmet bruges blandt andet til skatteindberetninger i Ukraine og er obligatorisk for registrerede virksomheder i landet, der derfor er hårdt ramt.

Derudover anvender Petya også et andet NSA-exploit – EternalRomance – til fjernadgang, og så snart ransomwaren har inficeret et system, går den i gang med at indsamle kodeord og brugeroplysninger for at opnå administrator-rettigheder.

På den inficerede maskine overtager Petya styringen af værktøjer som Windows Management Instrumentation, og når malwaren har skaffet sig tilstrækkeligt med rettigheder, beder den alle maskiner, den er forbundet med, om også at installere og køre Petya.

Også selvom de er patchede.

Læs også: Kæmpe ransomware-angreb spreder sig over hele verden: Ransomwaren Petya udnytter Windows-hul

Hvad er motivet?

Selvom Petya er teknisk bedre udført og derfor på sin vis farligere end WannaCry, er der stadig ridser i lakken.

Hackerne bag ransomwaren har konstrueret betalingsfunktionen således at alle ofre skal indbetale løsesum til den samme bitcoin-wallet, ligesom alle skal indsende dokumentation for betalingen til en mailadresse.

Således er hele mekanismen afhængig af den ene mailadresse - som mail-leverandøren nu har lukket. Derfor er "ransom"-delen af ransomwaren i praksis sat ud af spillet, og flere danske sikkerhedseksperter vurderer overfor Computerworld, at motivet derfor er noget andet end økonomisk vinding.

Jens Monrad fra FireEye vurderer, at det kan være politisk, mens Peter Kruse mener, at det kan være en test for at se, hvor meget ødelæggelse man kan skabe med et enkelt angreb.

Det kan du læse mere om her: Petya er ikke ransomware, det er meget værre og langt mere alvorligt

Læses lige nu

    Event: Årets CISO 2026

    Sikkerhed | Kongens Lyngby

    Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

    22 oktober 2026 | Gratis deltagelse

    Forsvarets Efterretningstjeneste

    Operations Engineer til Big Data og High performance Computing

    Københavnsområdet

    AGITO Medical A/S

    IT Operations Lead

    Nordjylland

    STELLA CARE ApS

    Backend-udvikler (AI-Native)

    Københavnsområdet

    Netcompany A/S

    Erfaren Linux Operations Engineer

    Nordjylland

    Navnenyt fra it-Danmark

    netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

    Honey Arora

    Immeo

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS