Эксперты «Лаборатории Касперского» продолжили расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.
По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.
На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.
Продукты «Лаборатории Касперского» детектируют данное вредоносное ПО с вердиктом: UDS:DangerousObject.Multi.Generic; Trojan-Ransom.Win32.ExPetr.a; HEUR:Trojan-Ransom.Win32.ExPetr.gen.
Поведенческий анализатор «Мониторинг системы» (System Watcher) детектирует это вредоносное ПО с вердиктом: PDM:Trojan.Win32.Generic; PDM:Exploit.Win32.Generic.
В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher). Компания работает над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя.
Эксперты «Лаборатории Касперского» также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.
«Лаборатория Касперского» настоятельно рекомендует всем корпоративным пользователям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.
Также рекомендуется всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы даже если они были зашифрованы вредоносным ПО.
Корпоративным клиентам «Лаборатории Касперского» рекомендуется предпринять следующие действия:
- убедиться, что все механизмы защиты активированы, в частности удостовериться, что подключение к облачной инфраструктуре Kaspersky Security Network и «Мониторинг системы» (System Watcher), активированные по умолчанию, не отключены;
- в качестве дополнительной меры рекомендуем использовать компонент «Контроль активности программ», чтобы запретить всем группам приложений доступ (а соответственно и исполнение) файла с названием «perfc.dat» и утилиты PSexec пакета Sysinternals;
- в качестве альтернативной меры для запрета исполнения утилиты PSexec пакета Sysinternals рекомендуется использовать компонент «Контроль запуска программ» продукта Kaspersky Endpoint Security, а для запрета исполнения файла perfc.dat — компонент «Контроль активности программ»;
- сконфигурировать и настроить режим Default Deny с помощью компонента «Контроль запуска программ» в составе решения Kaspersky Endpoint Security, это позволяет обеспечить высокую степень проактивной защиты от данной и подобных атак.
Если вы не используете продукты «Лаборатории Касперского», рекомендуется запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.