Petya. Новая масштабная атака программы-вымогателя

Чуть больше месяца назад случилась атака шифровальщика WannaCry, а сегодня «Лаборатория Касперского» информирует вас о масштабной атаке программы-вымогателя, начавшейся 27 июня. Ниже вы найдете официальную информацию об угрозе, а также рекомендации для наших текущих и потенциальных клиентов по противодействию угрозе. 

По ссылке выложены материалы по проблеме борьбы с шифровальщиками, которые также можно использовать в коммуникациях.

Напомним, что во время эпидемии WannaCry Команда Лабооратории Касперского провели два вебинара для клиентов, записи доступны по соответствующим ссылкам:

• 18 мая. Как не стать жертвой WannaCry и других шифровальщиков.
• 8 июня. Как не стать жертвой WannaCry и других шифровальщиков. Инструкции по применению.

На странице noransom.kaspersky.ru Команда Лабооратории Касперского собирает важную информацию о шифровальщиках и методах борьбы с ними. 

Информация о масштабной атаке программы-вымогателя 27 июня 

Эксперты «Лаборатории Касперского» продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся в Лаборатории предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.


Продукты «Лаборатории Касперского» детектируют данное вредоносное ПО с вердиктом:
UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen

Поведенческий анализатор «Мониторинг системы» (System Watcher) детектирует это вредоносное ПО с вердиктом:
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic


В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher). На данный момент Лаборатория работает над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя.

Эксперты Лаборатории также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.


Мы настоятельно рекомендуем всем нашим клиентам установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.

Мы также рекомендуем всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы даже если они были зашифрованы вредоносным ПО.


Мы также рекомендуем предпринять следующие действия:

1. Убедиться, что все механизмы защиты активированы, в частности удостовериться, что подключение к облачной инфраструктуре Kaspersky Security Network и «Мониторинг системы» (System Watcher), активированные по умолчанию, не отключены.

2. В качестве дополнительной меры рекомендуем использовать компонент «Контроль активности программ», чтобы запретить всем группам приложений доступ (а соответственно и исполнение) файла с названием «perfc.dat» и утилиты PSexec пакета Sysinternals (подробности о данных функциях можно прочитать по ссылкам.

3. В качестве альтернативной меры для запрета исполнения утилиты PSexec пакета Sysinternals рекомендуем использовать компонент «Контроль запуска программ» продукта Kaspersky Endpoint Security, а для запрета исполнения файла perfc.dat – компонент «Контроль активности программ»

4. Сконфигурировать и настроить режим Default Deny с помощью компонента «Контроль запуска программ» в составе решения Kaspersky Endpoint Security, это позволяет обеспечить высокую степень проактивной защиты от данной и подобных атак.

Если вы не используете продукты «Лаборатории Касперского», рекомендуем запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.

← Вернуться