Analiștii Kaspersky Lab investighează un nou val de atacuri ransomware care vizează organizațiile din toată lumea. Rezultatele preliminare sugerează că nu este vorba de Petya, asa cum s-a spus, ci de un ransomware care nu a mai fost întâlnit până acum. Chiar dacă sunt câteva asemănări cu Petya, virusul are o funcționalitate complet diferită. Kaspersky Lab a numit acest ransomware ExPetr.

Datele telemetrice ale companiei indică aproximativ 2.000 de utilizatori atacați până acum. Organizațiile din Rusia și Ucraina sunt cele mai afectate, dar au fost înregistrate atacuri și în Polonia, Italia, Marea Britanie, Germania, Franța, SUA, Romania și alte țări.

Pare sa fie un atac complex, care implică mai mulți vectori. Se confirmă că sunt folosite exploit-urile modificate EternalBlue şi EternalRomance pentru propagarea în interiorul rețelelor corporative.

Kaspersky Lab detectează această amenințare ca:
UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen.

Soluția System Watcher recunoaște amenințarea ca:
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

Până în prezent, în majoritatea cazurilor, Kaspersky Lab a detectat vectorul inițial de infectare proactiv, prin intermediul System Watcher. Se lucrează, de asemenea, la îmbunatățirea detecției ransomware pe baza comportamentului, pentru a detecta proactiv potențiale viitoare versiuni.

Experții Kaspersky Lab vor continua să studieze problema pentru a vedea dacă este posibilă decriptarea datelor – cu scopul de a dezvolta un instrument de decriptare cât mai curând.

Tuturor companiilor li se recomandă să își actualizeze sistemele de operare Windows: utilizatorii de Windows XP şi Windows 7 se pot proteja instalând patch-ul de securitate MS17-010.

De asemenea, se recomandă tuturor organizațiilor să se asigure că au făcut backup la datele importante.

Utilizatorii sunt sfătuiți:

  • să verifice ca toate componentele de protecție să fie activate, conform recomandărilor, și că nu au dezactivat componentele KSN și System Watcher, care sunt activate din start.
  • ca o măsură suplimentară, să utilizeze componenta Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) din Kaspersky Endpoint Security, pentru a preveni executarea fișierelor perfc.dat și PSExec din pachetul Sysinternals Suite.
  • să configureze și să activeze modul Default Deny din componenta Application Startup Control a Kaspersky Endpoint Security, care face posibil mecanismul de apărare proactivă împotriva acestui atac și a altor atacuri.

Dacă nu aveți produse Kaspersky lab pe dispozitive, folosiți funcția AppLocker pentru a dezactiva executarea fișierelor cu numele “perfc.dat” și de a bloca lansarea utilitei PSExec din Sysinternals Suite. Detalii sunt disponibile aici: https://securelist.com/schroedingers-petya/78870/.

Lasă un răspuns