Analitičari kompanije Kaspersky Lab u ovom trenutku istražuju novi talas ransomware napada koji targetiraju organizacije širom sveta. Preliminarni rezultati ukazuju na činjenicu da se ne radi o verziji „Petya“ ransomware-a, kao što je prvobitno bilo objavljeno, već o novom ransomware-u koji do sada nije viđen. Stručnjaci iz kompanije Kaspersky Lab nazvali su ovaj ransomware „ExPetr“.
Podaci do kojih je došla kompanija ukazuju na činjenicu da je do sada napadnuto oko 2 hiljade korisnika. Organizacije u Rusiji i Ukrajini su najviše pogođene, a takođe su registrovani napadi u Poljskoj, Italiji, Velikoj Britaniji, Nemačkoj, Francuskoj, SAD i nekoliko drugih zemalja.
Čini da je u pitanju kompleksan napad koji podrazumeva nekoliko napadačkih vektora. Možemo da potvrdimo da je za distribuciju korišćen modifikovan „EternalBlue“ i „EternalRomance“ exploit program, makar u korporativnim mrežama.
-
Kaspersky Lab detektuje pretnju kao UDS:DangerousObject.Multi.Generic, Trojan- Ransom.Win32.ExPetr.a, HEUR:Trojan-Ransom.Win32.ExPetr.gen.
- Naš sistem za detekciju obrazaca ponašanja, System Watcher, detektuje pretnju kao PDM:Trojan.Win32.Generic, PDM:Exploit.Win32.Generic.
U većini zabeleženih slučajeva, kompanija Kaspersky Lab je proaktivno detektovala inicajalni vektor infekcije preko sistema za detekciju obrazaca ponašanja, System Watcher-a. Stručnjaci takođe radi ne bihejvioralnoj anti-ransomware detekciji kako bi zaštitili korisnike od nekih budućih verzija virusa.
Stručnjaci iz kompanije Kaspersky Lab će nastaviti da analiziraju ovaj virus, kao i da utvrde da li je moguće otključati fajlove koji su pogođeni ransomware napadom. Cilj je da se što pre kreira alat za dešifrovanje fajlova pogođenih ovim napadima.
Kaspersky Lab savetuje svim kompanijama da ažuriraju svoje Windows softver: Windows XP i Windows 7 korisnici mogu da se zaštite tako što će instalirati MS17-010 bezbednosni paket za ažuriranje.
Kaspersky Lab takođe savetuje sve organizacije da prave rezervne kopije podataka. Adekvatno i pravovremeno pravljenje kopija može olakšati povratak originalnih fajlova u slučaju gubitka.
Kaspersky Lab takođe savetuje korporativnim korisnicima da:
-
Provere da li su svi mehanizmi za zaštitu aktivirani, kao i da ne isključuju komponente KSN i System Watcher, koje su unapred podešene da budu upaljene.
-
Kao dodatnu meru bezbednosti, koriste HIPS komponentu rešenja Kaspersky Endpoint Security, kako bi sprečili pokretanje fajla sa imenom perfc.dat
- Omoguće rad komponente Default Deny koja obezbeđuje proaktivnu zaštitu od ransomware napada.