Analitycy z Kaspersky Lab badają nową falę ataków szkodliwego oprogramowania ransomware na firmy na całym świecie. Wstępne wyniki badania wskazują, że za atakami nie stoi odmiana szkodnika Petya, jak wynika z doniesień medialnych, a nowe oprogramowanie ransomware, z którym analitycy nie mieli do czynienia wcześniej. Mimo że szkodnik posiada pewne podobieństwa do zagrożenia Petya, nowy szkodliwy program jest wyposażony w inny zestaw funkcji. Kaspersky Lab określa to nowe zagrożenie jako „ExPetr”.

Na chwilę obecną dane telemetryczne Kaspersky Lab wskazują na około 2 000 atakowanych użytkowników. Najwięcej ataków odnotowano w Rosji i na Ukrainie, jednak pojawiły się także próby infekcji w Polsce, Włoszech, Niemczech, Wielkiej Brytanii, Francji, Stanach Zjednoczonych i kilku innych krajach.

Atak jest zaawansowany i obejmuje kilka wektorów infekcji. Badacze z Kaspersky Lab mogą potwierdzić, że cyberprzestępcy wykorzystali do rozprzestrzeniania szkodnika wewnątrz sieci firmowych zmodyfikowane szkodliwe narzędzia (tzw. exploity) EternalBlue (stosowane również przez wcześniejsze ataki ransomware WannaCry) oraz EternalRomance, wykorzystujące luki w systemach Windows.

Produkty Kaspersky Lab wykrywają nowe zagrożenie jako:

• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.ExPetr.a
• HEUR:Trojan-Ransom.Win32.ExPetr.gen

Silnik wykrywania behawioralnego wbudowany w rozwiązania Kaspersky Lab (Kontrola systemu) identyfikuje to zagrożenie jako:

• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

W większości odnotowanych dotychczas przypadków produkty Kaspersky Lab skutecznie ochroniły użytkowników przed pierwotnym wektorem infekcji dzięki silnikowi wykrywania proaktywnego (Kontrola systemu). Eksperci z firmy pracują nad dodatkowymi sygnaturami, które proaktywnie zabezpieczą użytkowników przed wszelkimi przyszłymi wersjami omawianego zagrożenia. Badana jest także możliwość przygotowania bezpłatnego narzędzia, które pozwoliłoby ofiarom odszyfrować swoje dane bez płacenia okupu cyberprzestępcom, jednak na chwilę obecną jest zbyt wcześnie, by potwierdzić taką możliwość.


Kaspersky Lab zaleca wszystkim firmom, by niezwłocznie uaktualniły użytkowane systemy Windows. Użytkownicy systemów Windows XP oraz Windows 7 powinni zainstalować łatę bezpieczeństwa MS17-010.

Eksperci z Kaspersky Lab zalecają także firmom, by zadbały o wprowadzenie polityki tworzenia kopii zapasowych. Zapisywane regularnie kopie danych pozwalają na szybkie odzyskanie informacji w przypadku infekcji oprogramowania ransomware.

Użytkownicy biznesowych rozwiązań Kaspersky Lab powinni wykonać następujące działania:

• Upewnić się, że wszystkie zalecane mechanizmy ochrony są aktywne, a w szczególności, że nie wyłączono modułów Kaspersky Security Network (KSN) i Kontrola systemu (funkcje te są domyślnie włączone).
• Jako dodatkowy środek zapobiegawczy można zablokować jakikolwiek dostęp (a przez to uniemożliwić interakcję i uruchamianie) do wszelkich grup aplikacji do pliku o nazwie perfc.dat oraz narzędzia PSExec (część pakietu Sysinternals Suite) przy użyciu modułu Kontrola uprawnień aplikacji wbudowanego w rozwiązanie Kaspersky Endpoint Security (https://help.kaspersky.com/KESWin/10SP2/pl-PL/39265.htm oraz http://support.kaspersky.com/pl/10905#block1).
• Alternatywnie, można użyć modułu Kontrola uruchamiania aplikacji (https://help.kaspersky.com/KESWin/10SP2/pl-PL/129102.htm) do zablokowania uruchamiania narzędzia PSExec, jednak plik perfc.dat powinien zostać zablokowany przy użyciu modułu Kontrola uprawnień aplikacji.
• Ponadto, skonfigurowanie i aktywowanie trybu domyślnej odmowy w module Kontrola uruchamiania aplikacji wbudowanym w rozwiązanie Kaspersky Endpoint Security pozwoli na wymuszenie ochrony proaktywnej przed omawianym zagrożeniem i innymi cyberatakami.

Użytkownicy, którzy nie posiadają produktów Kaspersky Lab, mogą skorzystać z funkcji AppLocker systemu Windows, by zablokować możliwość uruchamiania plików perfc.dat oraz narzędzia PSExec wchodzącego w skład pakietu Sysinternals Suite.

Szczegóły techniczne dotyczące szkodliwego programu ExPetr są dostępne na stronie http://securelist.pl/blog/7404,pet_ya_schroedingera.html.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.