„Kaspersky Lab“ komentaras dėl „ExPetr“ išpirkos reikalaujančio viruso išpuolio birželio 27 d.

„Kaspersky Lab“ analitikai ištyrė naują išpirkos reikalaujančių virusų išpuolių prieš viso pasaulio organizacijas bangą. Mūsų preliminarios išvados rodo, kad tai nėra „Petya“ viruso variantas, apie kurį pranešta viešai, o naujas, anksčiau nepastebėtas išpirkos reikalaujantis virusas. Nors jis turi keletą į „Petya“ panašių savybių, jo funkcionalumas visiškai kitoks. Mes jį pavadinome „ExPetr“.

Kompanijos telemetrijos duomenys rodo, kad iki šiol jau įvyko apie 2000 išpuolių. Tai labiausiai paveikė Rusijos ir Ukrainos organizacijas, taip pat protrūkiai užsiregistruoti Lenkijoje, Italijoje, Jungtinėje Karalystėje, Vokietijoje, Prancūzijoje, JAV ir keliose kitose šalyse.

Tai kompleksinis išpuolis, apimantis kelis kompromiso vektorius. Mes galime patvirtinti, kad nusikaltėliai korporatyviniame tinkle platina modifikuotus „EternalBlue“ ir „EternalRomance“ eksploitus.

• „Kaspersky Lab“ nustatė grėsmę kaip UDS:DangerousObject.Multi.Generic, Trojan-Ransom.Win32.ExPetr.a, HEUR:Trojan-Ransom.Win32.ExPetr.gen.
• Mūsų elgsenos aptikimo variklis „System Watcher“ nustatė grėsmę kaip PDM:Trojan.Win32.Generic, PDM:Exploit.Win32.Generic.

Daugeliu atvejų iki šiol „Kaspersky Lab“ aktyviai aptikdavo pradinį infekcijos vektorių savo elgsenos aptikimo varikliu „System Watcher“. Mes taip pat siekiame tobulinti elgsenos antivirusą, kad galėtume aktyviai aptikti galimas būsimas versijas.

„Kaspersky Lab“ ekspertai ir toliau nagrinės problemą, siekdami nustatyti, ar galima iššifruoti išpuolio metu užblokuotus duomenis, ir kuo greičiau sukurti iššifravimo įrankį.

Visoms įmonėms patariame atnaujinti „Windows“ programinę įrangą: „Windows XP“ ir „Windows 7“ naudotojai gali apsisaugoti įdiegdami MS17-010 saugos pataisą.

Mes taip pat patariame visoms organizacijoms pasidaryti atsargines duomenų kopijas. Tinkama ir laiku padaryta duomenų kopija gali būti naudojama pradiniams failams atkurti.

Savo klientams „Kaspersky Lab“ pataria:

• Patikrinkite, ar visi apsaugos mechanizmai suaktyvinti taip, kaip rekomenduojama, ar jie neatjungia KSN ir „System Watcher“ komponentų, numatytų aktyvinti.
• Kaip papildomą priemonę naudodami „Kaspersky Endpoint Security“ sprendimo HIPS komponentą, galite užkirsti kelią failui „perfc.dat“ ir blokuoti „PSExec“ įrankį iš „Sysinternals“ paketo.
• Aktyvinkite „Kaspersky Endpoint Security“ sprendimo numatytąjį „Default Deny“ komponentą, kuris leidžia proaktyviai gintis nuo išpuolių.

Jei savo įrenginyje neturite „Kaspersky Lab“ produktų, naudokitės „AppLocker“ funkcija, jei norite užblokuoti „perfc.dat“ failus ir sustabdyti „PSExec“ įrankio veiklą.