Эксперты Kaspersky Lab провели расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. Kaspersky Lab назвала новый шифровальщик ExPetr.
По данным Kaspersky Lab, число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в Украине и России, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.
На данный момент эксперты Kaspersky Lab предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.
Продукты Kaspersky Lab детектируют данное вредоносное ПО с вердиктом:
-
UDS:DangerousObject.Multi.Generic
-
Trojan-Ransom.Win32.ExPetr.a
-
HEUR:Trojan-Ransom.Win32.ExPetr.gen
Поведенческий анализатор «Мониторинг системы» (System Watcher) детектирует это вредоносное ПО с вердиктом:
-
PDM:Trojan.Win32.Generic
-
PDM:Exploit.Win32.Generic
В большинстве случаев продукты Kaspersky Lab успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher). Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя.
Эксперты компании также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.
Настоятельно рекомендуется всем корпоративным пользователям установить обновления для ОС Windows. Для WindowsXP и Windows 7 следует установить обновление безопасности MS17-010.
Kaspersky Lab также рекомендует всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы даже если они были зашифрованы вредоносным ПО.
Также рекомендуется запретить исполнение файла с названиемperfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows