О масштабной атаке программы-вымогателя

5 июля

Эксперты "Лаборатории Касперского" продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся у нас предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью.

"Лаборатория Касперского" назвала новый шифровальщик ExPetr.

По данным "Лаборатории Касперского", число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

На данный момент эксперты "Лаборатории Касперского" предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

Продукты "Лаборатории Касперского" детектируют данное вредоносное ПО с вердиктом:

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

Поведенческий анализатор "Мониторинг системы" (System Watcher) детектирует это вредоносное ПО с вердиктом:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

В большинстве случаев продукты "Лаборатории Касперского" успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора "Мониторинг системы" (System Watcher).

Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя. Наши эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

Мы настоятельно рекомендуем всем корпоративным пользователям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.

Мы также рекомендуем всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы даже если они были зашифрованы вредоносным ПО.

Мы также рекомендуем корпоративным клиентам "Лаборатории Касперского" предпринять следующие действия:

  • Убедиться, что все механизмы защиты активированы, в частности удостовериться, что подключение к облачной инфраструктуре Kaspersky Security Network и "Мониторинг системы" (System Watcher), активированные по умолчанию, не отключены.
  • В качестве дополнительной меры рекомендуем использовать компонент "Контроль активности программ", чтобы запретить всем группам приложений доступ (а соответственно, и исполнение) файла с названием perfc.dat и утилиты PSexec пакета Sysinternals (подробности о данных функциях можно прочитать по ссылкам https://help.kaspersky.com/KESWin/10SP2/ru-RU/39265.htm, http://support.kaspersky.ru/10905)
  • В качестве альтернативной меры для запрета исполнения утилиты PSexec пакета Sysinternals рекомендуем использовать компонент "Контроль запуска программ" (https://help.kaspersky.com/KESWin/10SP2/ru-RU/129102.htm) продукта Kaspersky Endpoint Security, а для запрета исполнения файла perfc.dat – компонент "Контроль активности программ"
  • Сконфигурировать и настроить режим Default Deny с помощью компонента "Контроль запуска программ" в составе решения Kaspersky Endpoint Security, это позволяет обеспечить высокую степень проактивной защиты от данной и подобных атак.

Если вы не используете продукты "Лаборатории Касперского", рекомендуем запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.

3 комментария
Владимир Петров

Статья вообще ни о чём. Описали бы лучше алгоритм проникновения. Или как обычно: ёмыл->Тупой бухгалтер(Ваша контора должна 100500 денег).zip->тык->тык->кирдык... Дыбилы блядь ... Чёйто у меня все лесом пошли, а супер-пупер конторы на кутак насадили. Отсюда могу сделать только один вывод: триппер проникает во внутреннюю инфраструктуру компаний через сайт, который вертится на внутреннем сервер компании. который сисадмины защитить не могут.

743 дня назад
Владимир Петров

А так же рекомендую всем включить \dev\мозг и забыть про лабораторию Кошмаровского и д.р., т.к. адекватно на скрипты шифровальщики, кроме почты google никуя никто не реагирует

743 дня назад
Владимир Петров

И если уж на то пошло то Petya никуя не шифрует, а уничтожает данные, а запрос на Bitcoin кошелек формируется рандомно.

742 дня назад