«Лаборатория Касперского»: атаковавший шифровальщик не принадлежит к уже известному семейству вымогателей Petya

28 июнь, 2017 - 16:18

Эксперты «Лаборатории Касперского» на основе предварительным данных сделали вывод, что атаковавший вчера шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода.

Отмечается, что в данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

Продукты «Лаборатории Касперского» детектируют данное вредоносное ПО с вердиктом:

UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen
Поведенческий анализатор «Мониторинг системы» (System Watcher) детектирует это вредоносное ПО с вердиктом:

PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

Эксперты  компании, как отмечается,  изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

Настоятельно рекомендуется всем корпоративным пользователям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.

Кроме того, всем организациям следует убедиться, что они обладают эффективной системой резервного копирования данных.