29 Kwietnia 2026
Atak Petya krok po kroku – mechanizm i skutki
Nazwa „Petya” bywa myląca, bo pod tym hasłem mieszczą się dwa zjawiska. Oryginalna Petya z 2016 roku to ransomware rozsyłany m.in. w spamie udającym zgłoszenia rekrutacyjne. Z kolei głośny incydent z 27 czerwca 2017 roku, który sparaliżował firmy na całym świecie, jest dziś najczęściej opisywany jako NotPetya albo ExPetr. W praktyce gdy ktoś mówi o „ataku Petya” o globalnej skali, zwykle chodzi właśnie o NotPetya.
To rozróżnienie ma znaczenie, bo mechanizm i cel były inne. Oryginalna Petya nadpisywała MBR i po restarcie szyfrowała MFT, blokując uruchomienie systemu. NotPetya wykorzystywał podobne elementy techniczne, ale według analiz Microsoftu i Kaspersky’ego działał w praktyce jak narzędzie do niszczenia danych, a nie klasyczny ransomware nastawiony na realne odzyskanie plików po zapłacie okupu.
To rozróżnienie ma znaczenie, bo mechanizm i cel były inne. Oryginalna Petya nadpisywała MBR i po restarcie szyfrowała MFT, blokując uruchomienie systemu. NotPetya wykorzystywał podobne elementy techniczne, ale według analiz Microsoftu i Kaspersky’ego działał w praktyce jak narzędzie do niszczenia danych, a nie klasyczny ransomware nastawiony na realne odzyskanie plików po zapłacie okupu.
ZWIĘKSZ BEZPIECZEŃSTWO SWOICH DANYCH
O czym pamiętać?
- Gdy dziś mówi się o „ataku Petya”, najczęściej chodzi o NotPetya z 2017 roku, a nie o wcześniejsze warianty klasycznego ransomware.
- NotPetya tylko wyglądał jak ransomware. W praktyce działał głównie jak narzędzie destrukcyjne, które utrudniało lub uniemożliwiało odzyskanie danych.
- Atak zaczął się od zainfekowanej aktualizacji legalnego oprogramowania, więc nie przypominał typowego oszustwa z podejrzanym załącznikiem.
- Po wejściu do sieci firmowej malware rozprzestrzeniał się bardzo szybko, wykorzystując luki w systemach i przejęte poświadczenia użytkowników.
- Skutki nie ograniczały się do jednego komputera. W wielu organizacjach dochodziło do paraliżu całych sieci, przestojów operacyjnych i dużych strat finansowych.
- Najważniejsza lekcja z tego incydentu jest prosta: sam antywirus nie wystarczy. Kluczowe są aktualizacje, segmentacja sieci, kopie zapasowe i kontrola uprawnień.
Petya i NotPetya – od czego zacząć, żeby się nie pomylić
W 2016 roku Petya trafiał głównie do firm przez spamowe wiadomości e-mail. Ofiara dostawała link do archiwum ZIP, w którym znajdował się plik udający CV albo dokument aplikacyjny, a w rzeczywistości był to plik wykonywalny. Po uruchomieniu malware przejmował niskopoziomowe struktury dysku: MBR i MFT, a po restarcie system przestawał działać normalnie.
NotPetya z 2017 roku był dużo groźniejszy dla organizacji. Microsoft ustalił, że początkowe wejście następowało przez mechanizm aktualizacji programu M.E.Doc, popularnego w Ukrainie oprogramowania finansowo-księgowego. To oznaczało atak na łańcuch dostaw: złośliwy kod trafiał do ofiary razem z pozornie legalną aktualizacją.
NotPetya z 2017 roku był dużo groźniejszy dla organizacji. Microsoft ustalił, że początkowe wejście następowało przez mechanizm aktualizacji programu M.E.Doc, popularnego w Ukrainie oprogramowania finansowo-księgowego. To oznaczało atak na łańcuch dostaw: złośliwy kod trafiał do ofiary razem z pozornie legalną aktualizacją.
Jak działał atak krok po kroku?
Etap 1: wejście przez łańcuch dostaw
Pierwszy etap był najgroźniejszy właśnie dlatego, że wyglądał wiarygodnie. Według Microsoftu atak zaczął się od kompromitacji aplikacji M.E.Doc. Gdy organizacja instalowała aktualizację, złośliwy kod uruchamiał się na pierwszym komputerze w sieci firmowej. Taki start omijał wiele prostych założeń obronnych, bo problem nie wyglądał jak zwykły podejrzany załącznik czy przypadkowe kliknięcie w link.
Etap 2: uruchomienie kodu i rozpoznanie sieci
Po uruchomieniu malware nie ograniczał się do jednego komputera. NotPetya wypakowywał na dysk m.in. narzędzie PsExec i komponent do pozyskiwania poświadczeń. Następnie zaczynał rozpoznanie sieci: szukał stacji roboczych i kontrolerów domeny, sprawdzał porty 139 i 445 oraz próbował ustalić, gdzie może przenieść się dalej.
To był moment, w którym atak przestawał być lokalnym incydentem na jednej stacji. Zamiast „zaszyfruj i pokaż okup”, malware najpierw robił rekonesans i przygotowywał się do szybkiego przemieszczania w sieci. W środowisku firmowym taki schemat jest dużo groźniejszy niż zwykły malware działający tylko na komputerze jednego użytkownika.
To był moment, w którym atak przestawał być lokalnym incydentem na jednej stacji. Zamiast „zaszyfruj i pokaż okup”, malware najpierw robił rekonesans i przygotowywał się do szybkiego przemieszczania w sieci. W środowisku firmowym taki schemat jest dużo groźniejszy niż zwykły malware działający tylko na komputerze jednego użytkownika.
Etap 3: ruch boczny i przejmowanie poświadczeń
Kolejny etap to ruch boczny, czyli przechodzenie z jednego hosta na kolejny. Microsoft i CERT Polska wskazywały trzy główne mechanizmy:
- wykorzystanie luk z biuletynu MS17-010 w protokole SMB,
- użycie PsExec,
- wykonanie poleceń przez WMIC.
CERT Polska opisał również wykorzystanie narzędzia Mimikatz do pozyskiwania poświadczeń.
To szczególnie ważna lekcja. NotPetya nie polegał wyłącznie na jednej luce. Jeśli system był niezałatany, malware mógł wykorzystać podatności CVE-2017-0144 i CVE-2017-0145. Jeżeli jednak ten wektor nie działał, wchodziły w grę kradzież poświadczeń i legalne narzędzia administracyjne. Dlatego sam brak jednej konkretnej podatności nie gwarantował bezpieczeństwa, jeśli w sieci krążyły uprawnione konta i sesje administracyjne.
To szczególnie ważna lekcja. NotPetya nie polegał wyłącznie na jednej luce. Jeśli system był niezałatany, malware mógł wykorzystać podatności CVE-2017-0144 i CVE-2017-0145. Jeżeli jednak ten wektor nie działał, wchodziły w grę kradzież poświadczeń i legalne narzędzia administracyjne. Dlatego sam brak jednej konkretnej podatności nie gwarantował bezpieczeństwa, jeśli w sieci krążyły uprawnione konta i sesje administracyjne.
Etap 4: restart, MBR, MFT i fałszywy CHKDSK
Gdy malware osiągnął już swój cel w sieci, przechodził do etapu destrukcji. W mechanizmie nadpisywania sektora rozruchowego MBR nie było istotnych zmian względem wcześniejszej kampanii. Dodatkowo czyszczone były logi systemowe, a w harmonogramie zadań pojawiało się polecenie restartu komputera około godzinę po infekcji. Malware potrafił też wymusić ponowne uruchomienie systemu.
Po restarcie użytkownik widział ekran przypominający narzędzie CHKDSK, czyli pozornie zwykłą naprawę dysku. W rzeczywistości w tle następowało niszczenie dostępu do danych. To był bardzo podstępny element całego scenariusza: część użytkowników mogła przez chwilę sądzić, że system „sam się naprawia”, podczas gdy atak właśnie przechodził do etapu nieodwracalnych szkód.
Po restarcie użytkownik widział ekran przypominający narzędzie CHKDSK, czyli pozornie zwykłą naprawę dysku. W rzeczywistości w tle następowało niszczenie dostępu do danych. To był bardzo podstępny element całego scenariusza: część użytkowników mogła przez chwilę sądzić, że system „sam się naprawia”, podczas gdy atak właśnie przechodził do etapu nieodwracalnych szkód.
Dlaczego NotPetya nie był „zwykłym ransomware”?
Na pierwszy rzut oka wszystko wyglądało jak klasyczny ransomware: komunikat o okupie, żądanie płatności i obietnica odzyskania danych. Problem w tym, że analiza techniczna nie potwierdziła realnej ścieżki deszyfrowania. W malware nie było technicznego mechanizmu generowania indywidualnych kluczy i rejestrowania ich po stronie atakujących w sposób typowy dla „prawdziwego” ransomware.
Identyfikator wyświetlany ofierze był w praktyce losową wartością, która nie pozwalała odzyskać klucza deszyfrującego. Wniosek był brutalny: nawet po zapłacie ofiara nie miała realnej ścieżki odzyskania danych. To właśnie dlatego NotPetya jest dziś powszechnie opisywany jako wiper udający ransomware.
Dodatkowym problemem było to, że w trakcie kampanii konto e-mail używane do kontaktu z napastnikami zostało zablokowane przez dostawcę usługi. CERT Polska już 28 czerwca 2017 r. pisał wprost, że nie rekomenduje płacenia okupu, bo ofiary i tak nie mają praktycznej możliwości odzyskania klucza tą drogą.
Sprawdź, jakie działania podjąć po ataku ransomwere.
Identyfikator wyświetlany ofierze był w praktyce losową wartością, która nie pozwalała odzyskać klucza deszyfrującego. Wniosek był brutalny: nawet po zapłacie ofiara nie miała realnej ścieżki odzyskania danych. To właśnie dlatego NotPetya jest dziś powszechnie opisywany jako wiper udający ransomware.
Dodatkowym problemem było to, że w trakcie kampanii konto e-mail używane do kontaktu z napastnikami zostało zablokowane przez dostawcę usługi. CERT Polska już 28 czerwca 2017 r. pisał wprost, że nie rekomenduje płacenia okupu, bo ofiary i tak nie mają praktycznej możliwości odzyskania klucza tą drogą.
Sprawdź, jakie działania podjąć po ataku ransomwere.
Skutki ataku – od Ukrainy do globalnych strat
Atak uderzył przede wszystkim w Ukrainę, m.in. w sieci ukraińskie, dostawcę energii Ukrenergo, system monitoringu promieniowania elektrowni w Czarnobylu oraz producenta samolotów Antonov. Jednocześnie skutki bardzo szybko wyszły poza kraj pierwotnego celu i objęły organizacje w innych państwach.
NotPetya sparaliżował potem część największych firm świata, w tym Maersk, FedEx, Merck i Saint-Gobain. Według szacunków Białego Domu łączne szkody sięgnęły około 10 mld dolarów, co uczyniło NotPetya jednym z najbardziej kosztownych cyberataków w historii.
To pokazuje, że mówimy nie o pojedynczym incydencie ransomware, ale o destrukcyjnej operacji, której efekty finansowe były ogromne nawet w ograniczonym wycinku wszystkich poszkodowanych.
NotPetya sparaliżował potem część największych firm świata, w tym Maersk, FedEx, Merck i Saint-Gobain. Według szacunków Białego Domu łączne szkody sięgnęły około 10 mld dolarów, co uczyniło NotPetya jednym z najbardziej kosztownych cyberataków w historii.
To pokazuje, że mówimy nie o pojedynczym incydencie ransomware, ale o destrukcyjnej operacji, której efekty finansowe były ogromne nawet w ograniczonym wycinku wszystkich poszkodowanych.
Dlaczego ten atak był tak trudny do zatrzymania?
NotPetya był groźny nie z jednego powodu, ale z połączenia kilku cech naraz. Najważniejsze były:
- wejście przez legalnie wyglądającą aktualizację oprogramowania, czyli przez łańcuch dostaw, a nie przez prosty „podejrzany plik”;
- równoczesne użycie exploita SMB, legalnych narzędzi administracyjnych i skradzionych poświadczeń;
- niszczący charakter malware, który w praktyce nie oferował realnego odzyskania danych po zapłacie;
- działanie wewnątrz sieci firmowej, gdzie jedna zainfekowana stacja mogła szybko pociągnąć za sobą kolejne.
To ważna lekcja także dziś. Wiele organizacji myśli o atakach przede wszystkim jako o „złośliwym załączniku” albo „dziurze w jednym systemie”. NotPetya pokazał, że prawdziwy problem zaczyna się wtedy, gdy po wejściu do środka atakujący potrafi wykorzystać zaufanie wewnętrzne, aktywne sesje użytkowników i legalne narzędzia administracyjne.
Dowiedz się także, czym jest i jak działa trojan.
Dowiedz się także, czym jest i jak działa trojan.
Jak ograniczyć ryzyko podobnego scenariusza?
Po takim ataku wnioski są dość konkretne. Zespoły bezpieczeństwa podkreślały przede wszystkim kilka działań:
- szybko wdrażać poprawki bezpieczeństwa, w tym historycznie MS17-010, a jeśli to niemożliwe – ograniczać powierzchnię ataku, np. przez wyłączenie SMBv1;
- stosować segmentację sieci i zasadę najmniejszych uprawnień, żeby jedna infekcja nie dawała od razu dostępu do całej organizacji;
- ograniczać korzystanie z kont uprzywilejowanych i pilnować, aby w pamięci stacji nie zalegały zbędne sesje administracyjne;
- dbać o kopie zapasowe offline i off-site, bo przy malware o charakterze wipera sam okup nie daje realnej ścieżki odzyskania danych.
Warto pamiętać, że skutki takiego incydentu nie kończą się na samym przestoju systemów. Jeśli atak wiąże się z wyciekiem danych pracowników albo klientów, później mogą pojawić się kolejne problemy: próby podszycia się, wyłudzenia czy nadużycia danych osobowych. Dlatego obok ochrony technicznej dobrze mieć też plan reakcji na konsekwencje incydentu. Jeśli chcesz monitorować swój PESEL i szybciej reagować na zagrożenia po wycieku danych, sprawdź trzy pakiety Chroń PESEL.
Podsumowanie
Atak Petya, a dokładniej NotPetya z 2017 roku, był czymś więcej niż kolejnym głośnym ransomware. Łączył w sobie atak na łańcuch dostaw, szybki ruch boczny po sieci, kradzież poświadczeń, wykorzystanie znanych luk i destrukcyjny mechanizm niszczenia dostępu do danych. To właśnie połączenie tych elementów sprawiło, że incydent urósł z problemu lokalnego do globalnego kryzysu.
Najważniejsza lekcja z perspektywy organizacji jest prosta: nie wystarczy „mieć antywirusa”. Potrzebne są aktualizacje, segmentacja, ograniczanie uprawnień, kontrola narzędzi administracyjnych i dobre kopie zapasowe. A z perspektywy użytkownika warto pamiętać, że po dużym incydencie technicznym często przychodzą też późniejsze zagrożenia związane z danymi i próbami nadużycia.
Najważniejsza lekcja z perspektywy organizacji jest prosta: nie wystarczy „mieć antywirusa”. Potrzebne są aktualizacje, segmentacja, ograniczanie uprawnień, kontrola narzędzi administracyjnych i dobre kopie zapasowe. A z perspektywy użytkownika warto pamiętać, że po dużym incydencie technicznym często przychodzą też późniejsze zagrożenia związane z danymi i próbami nadużycia.
Najczęściej zadawane pytania (FAQ)
Czy Petya i NotPetya to to samo?
Nie do końca. Oryginalna Petya była rodziną ransomware znaną już w 2016 roku. Głośny atak z czerwca 2017 roku jest dziś zwykle opisywany jako NotPetya lub ExPetr, ponieważ technicznie i operacyjnie różnił się od wcześniejszych wariantów.
Czy zapłacenie okupu pozwalało odzyskać dane?
W praktyce nie było na to wiarygodnej ścieżki. Analizy Microsoftu i Kaspersky’ego wskazywały, że malware nie miał poprawnie zaprojektowanego mechanizmu odzyskiwania danych typowego dla klasycznego ransomware.
Jak NotPetya rozchodził się po sieci?
Korzystał z kilku metod naraz: exploitów SMB związanych z MS17-010, kradzieży poświadczeń oraz legalnych narzędzi administracyjnych, takich jak PsExec i WMIC. To właśnie połączenie tych metod przyspieszało rozprzestrzenianie się w sieci firmowej.
Dlaczego mówi się, że NotPetya był wiperem?
Bo żądał okupu jak ransomware, ale analiza techniczna pokazała, że ofiara nie miała realnego mechanizmu odzyskania danych. Malware wyglądał więc jak ransomware, ale działał jak narzędzie destrukcyjne.
Jakie były najważniejsze skutki ataku?
Poza sparaliżowaniem organizacji w Ukrainie atak uderzył też w duże globalne firmy i według szacunków cytowanych przez Biały Dom wygenerował około 10 mld dolarów szkód.
Nie do końca. Oryginalna Petya była rodziną ransomware znaną już w 2016 roku. Głośny atak z czerwca 2017 roku jest dziś zwykle opisywany jako NotPetya lub ExPetr, ponieważ technicznie i operacyjnie różnił się od wcześniejszych wariantów.
Czy zapłacenie okupu pozwalało odzyskać dane?
W praktyce nie było na to wiarygodnej ścieżki. Analizy Microsoftu i Kaspersky’ego wskazywały, że malware nie miał poprawnie zaprojektowanego mechanizmu odzyskiwania danych typowego dla klasycznego ransomware.
Jak NotPetya rozchodził się po sieci?
Korzystał z kilku metod naraz: exploitów SMB związanych z MS17-010, kradzieży poświadczeń oraz legalnych narzędzi administracyjnych, takich jak PsExec i WMIC. To właśnie połączenie tych metod przyspieszało rozprzestrzenianie się w sieci firmowej.
Dlaczego mówi się, że NotPetya był wiperem?
Bo żądał okupu jak ransomware, ale analiza techniczna pokazała, że ofiara nie miała realnego mechanizmu odzyskania danych. Malware wyglądał więc jak ransomware, ale działał jak narzędzie destrukcyjne.
Jakie były najważniejsze skutki ataku?
Poza sparaliżowaniem organizacji w Ukrainie atak uderzył też w duże globalne firmy i według szacunków cytowanych przez Biały Dom wygenerował około 10 mld dolarów szkód.
Źródła
- Microsoft, Update on Petya malware attacks, dostęp: 3.04.2026.
- Microsoft, Overview of Petya, a rapid cyberattack, dostęp: 3.04.2026.
- CERT Polska, Atak Petya & Mischa, dostęp: 3.04.2026.
- Kaspersky, Petya ransomware eats your hard drives, dostęp: 3.04.2026.
- Securelist, ExPetr/Petya/NotPetya is a Wiper, Not Ransomware, dostęp: 3.04.2026.
- Cyber Security Agency of Singapore, A Closer Look At Wiper Malware, dostęp: 3.04.2026.
Data aktualizacji: 3 kwietnia 2026
Niniejszy materiał ma charakter wyłącznie marketingowy i ma na celu zachęcenie do nabycia usług Chroń PESEL świadczonych przez Kaczmarski Group Sp. J. oraz jej partnerów, tj. KRD BIG S.A. oraz TU Europa S.A. Materiał ten nie ma charakteru konsultingowego i nie powinien stanowić wyłącznej podstawy do podjęcia jakichkolwiek decyzji. Rekomendowane jest zapoznanie się ze szczegółowymi zasadami świadczenia usług Chroń PESEL, określonymi w odpowiednich Regulaminach, Ogólnych Warunkach, Warunkach ubezpieczenia oraz Cennikach (dostępnych na stronach internetowych chronpesel.pl).