Analiștii Kaspersky Lab investighează un nou val de atacuri ransomware care vizează organizații din toată lumea. Rezultatele noastre preliminare sugerează că nu este vorba de Petya, așa cum s-a spus inițial, ci de un ransomware care nu a mai fost întâlnit până acum. Chiar dacă sunt câteva asemănări cu Petya, are o funcționalitate complet diferită. Kaspersky Lab a denumit acest ransomware ExPetr.
Datele telemetrice ale companiei indică aproximativ 2.000 de utilizatori atacați până acum. Organizațiile din Rusia și Ucraina sunt cele mai afectate, dar au fost înregistrate atacuri și în Polonia, Italia, Marea Britanie, Germania, Franța, SUA, România și alte țări.
Pare sa fie un atac complex, care implică mai mulți vectori. Se poate confirma că sunt folosite exploit-urile modificate EternalBlue și EternalRomance pentru propagarea în interiorul rețelelor corporate.
Kaspersky Lab detectează această amenințare ca:
- să verifice ca toate componentele de protecție să fie activate, conform recomandărilor, și că nu au dezactivat componentele KSN și System Watcher, care sunt activate printr-o setare default.
- ca o măsură suplimentară, să utilizeze componenta Application Startup Control (https://help.kaspersky.com/
KESWin/10SP2/en-US/129102.htm)
din Kaspersky Endpoint Security, pentru a preveni punerea în executare a fișierului perfc.dat și a PSExec din pachetul Sysinternals Suite. - să configureze și să activeze modul Default Deny din componenta Application Startup Control a Kaspersky Endpoint Security, care face posibil mecanismul de apărare proactivă împotriva acestui atac și a altor atacuri.
Dacă nu aveți produse Kaspersky lab pe dispozitive, folosiți funcția AppLocker pentru a dezactiva punerea în executare a fișierelor cu numele“perfc.dat” și a PSExec din Sysinternals Suite.
Detalii sunt disponibile aici: https://securelist.com/
UPDATE virusul ExPetr
Analiza Kaspersky Lab indică faptul că sunt șanse mici ca victimele să-și recupereze datele. După studierea codului de criptare, experții Kaspersky Lab și-au dat seama că, dupa criptarea disk-ului, autorul nu a putut decripta disk-urile victimelor. Pentru a le decripta, autorii au nevoie de ID-ul de instalare. În versiuni anterioare de ransomware „similar”, ca Pethya/Mischa/GoldenEye, ID-ul de instalare conținea informația necesară pentru recuperare.
ExPetr nu are acest element, ceea ce înseamnă că autorii nu au putut extrage informația necesară pentru decriptare.
Pe scurt, victimele nu au putut să-și recupereze datele.
Detalii tehnice pe aceasta temă vor fi disponibile în curând pe Securelist.