«Лаборатория Касперского» назвала новый шифровальщик ExPetr.

29.06.2017

Чуть больше месяца назад случилась атака шифровальщика WannaCry, а сегодня «Лаборатория Касперского» информирует о масштабной атаке программы-вымогателя, начавшейся 27 июня.

Эксперты «Лаборатории Касперского» продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher). «Лаборатория Касперского» работает над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя.

Эксперты «Лаборатории Касперского» также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

Настоятельно рекомендуем всем корпоративным пользователям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.

Также рекомендуем всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы даже если они были зашифрованы вредоносным ПО.

Корпоративным клиентам «Лаборатории Касперского» рекомендуем предпринять следующие действия

  • Убедиться, что все механизмы защиты активированы, в частности удостовериться, что подключение к облачной инфраструктуре Kaspersky Security Network и «Мониторинг системы» (System Watcher), активированные по умолчанию, не отключены.
  • В качестве дополнительной меры рекомендуем использовать компонент «Контроль активности программ», чтобы запретить всем группам приложений доступ (а соответственно и исполнение) файла с названием «perfc.dat» и утилиты PSexec пакета Sysinternals.
  • В качестве альтернативной меры для запрета исполнения утилиты PSexec пакета Sysinternals рекомендуем использовать компонент «Контроль запуска программ» продукта Kaspersky Endpoint Security, а для запрета исполнения файла perfc.dat – компонент «Контроль активности программ».
  • Сконфигурировать и настроить режим Default Deny с помощью компонента «Контроль запуска программ» в составе решения Kaspersky Endpoint Security, это позволяет обеспечить высокую степень проактивной защиты от данной и подобных атак.

Если вы не используете продукты «Лаборатории Касперского», рекомендуем запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.

Источник: «Лаборатория Касперского»


Если у Вас возникли вопросы по информационной безопасности, свяжитесь с нами по телефону +7(812)325-8400, по электронной почте или на сайте компании

Так же Вы можете познакомиться с решениями «Лаборатории Касперского»

Kaspersky DDoS Prevention (KDP) — защита от DDoS-атак

Kaspersky Anti Targeted Attack Platform (KATA) — защита от целевых атак

Kaspersky Industrial CyberSecurity (KICS) — защита промышленных сред от киберугроз


Возврат к списку

Подписаться на новости


Антивирусы


Аутсорсинг

Обеспечим безотказную работу вашей ИТ-инфраструктуры

Узнайте больше

                

Ближайшие мероприятия

Все мероприятия