A Kaspersky Lab elemzői vizsgálják az újabb zsarolóvírus hullámot, amely világszerte megtámadott több szervezetet június 27-én. Előzetes megállapításaik arra utalnak, hogy ez nem egy Petya-féle zsarolóvírus variáns, miként ezt a napokban több hírforrás is közzétette, hanem egy új, korábban még nem ismert zsarolóvírus.
Új, eddig ismeretlen zsarolóvírusra bukkant a Kaspersky. Habár a Petya vírushoz nagyon hasonló, de teljesen más funkcionalitással rendelkezik, ezért a cég szakemberei „ExPetr”-nek nevezték el. A cég telemetriai adatai* eddig mintegy 2000 megtámadott felhasználót detektáltak. A leginkább érintettek az orosz és az ukrán szervezetek, de Lengyelországban, Olaszországban, az Egyesült Királyságban, Németországban, Franciaországban, az Egyesült Államokban és számos más országban is észleltek még áldozatokat.
Ez egy összetett támadásnak tűnik, amely több támadási vektort is magában foglal. A kibertanácsadó cég szakemberei megerősítik, hogy a bűnözők módosított EternalBlue és EternalRomance exploitokat használtak egy vállalati hálózaton belüli terjedéshez.
A Kaspersky Lab az alábbi neveken észlelte a vírust:
A Kaspersky Lab viselkedés-érzékelő rendszere, a SystemWatcher az alábbi neveken észleli a fenyegetést:
A legtöbb esetben mindeddig a Kaspersky Lab proaktív módon észlelte a kezdeti fertőzésvektort a biztonsági technológiája, a System Watcher segítségével, amely figyelemmel kíséri az összes fontos rendszereseményt, többek között az operációs rendszer fájljainak és konfigurációinak létrehozását és módosítását, valamint a hálózaton keresztüli programvégrehajtást és adatcserét. Az eseményeket naplózza és elemzi, s ha egy program rosszindulatú tevékenységet végez, blokkolja azt, megakadályozva ezzel a további fertőzést. A cég folyamatosan dolgozik a viselkedés-alapú zsarolóvírus-észlelés javításán azért, hogy proaktívan detektálhassa az esetlegesen felbukkanó új és/vagy még ismeretlen verziókat.
A Kaspersky Lab szakértői még vizsgálják a vírust, hogy megállapíthassák, lehetséges-e a támadásban titkosított adatok visszafejtése azzal a céllal, hogy a titkosítást feloldó programot a lehető leghamarabb kiadhassák.
A cég javasolja, hogy minden vállalat frissítse a Windows szoftvert: a Windows XP és a Windows 7 operációs rendszert használók az MS17-010 biztonsági javítás telepítésével védhetik meg rendszereiket. Azt is tanácsolják, hogy minden szervezet készítsen biztonsági mentést fontos adatairól, mivel ezek a mentések az eredeti fájlok elvesztése után könnyedén visszaállíthatók.
A Kaspersky Lab vállalati ügyfelei számára az alábbiakat javasolja:
Ha nem rendelkezik Kaspersky Lab termékkel, használja a Windows operációs rendszer AppLocker funkcióját, amely letiltja a "perfc.dat" és a PSExec segédprogramot, amelyek a Sysinternals Suite csomag részei.
Bővebb információt az „ExPetr” zsarolóvírusról és annak hatékony blokkolásáról a Kaspersky Lab és a Comae Technologies közös online előadásán hallhat, amelyet Juan Andres Guerrero-Saade, a Kaspersky Lab vezető biztonsági kutatója valamint Matt Suiche, a Comae Technologies szakértője június 29-én 16:00 órától tart.
A webinar elérhető ezen a linken regisztráció és résztvevő limit nélkül.