Επιθέσεις Ransomware "ExPetr": Σημαντική ενημέρωση από την Kaspersky Lab

Οι αναλυτές της Kaspersky Lab ερευνούν το νέο κύμα επιθέσεων ransomware οι οποίες έχουν ως στόχο εταιρείες σε όλο τον κόσμο. Από τα αρχικά μας συμπεράσματα προκύπτει πως δεν είναι μία παραλλαγή του ransomware «Petya», όπως αναφέρθηκε δημόσια, αλλά ένας καινούριος τύπος ransomware που δεν έχει εμφανιστεί ποτέ ξανά. Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονομάσαμε «ExPetr».

Τα δεδομένα τηλεμετρίας της εταιρείας δείχνουν πως μέχρι τώρα έχουν πραγματοποιηθεί γύρω στις 2000 επιθέσεις. Οι οργανισμοί στη Ρωσία και στην Ουκρανία είναι αυτοί που έχουν επηρεαστεί περισσότερο, ενώ έχουν σημειωθεί αρκετές επιθέσεις στην Πολωνία, την Ιταλία, το Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία, τις Ηνωμένες Πολιτείες και σε πολλές άλλες χώρες.

Αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη αφού περιλαμβάνει διάφορους φορείς έκθεσης σε κίνδυνο. Μπορούμε να επιβεβαιώσουμε πως χρησιμοποιούνται τροποποιημένα τα exploits “EternalBlue” και “EternalRomance” από τους εγκληματίες για τη διάδοση δεδομένων μέσα από εταιρικά δίκτυα.

Η Kaspersky Lab ανιχνεύει τις απειλές ως:

• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.ExPetr.a
• HEUR:Trojan-Ransom.Win32.ExPetr.gen

Η μηχανή ανίχνευσης ύποπτης συμπεριφοράς SystemWatcher που διαθέτουμε ανιχνεύει τις απειλές ως:

• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

Στις περισσότερες περιπτώσεις μέχρι τώρα, η Kaspersky Lab προληπτικά ανίχνευε τον αρχικό φορέα μόλυνσης μέσα από τη μηχανή ανίχνευσης ύποπτης συμπεριφοράς System Watcher. Προσπαθούμε επίσης να βελτιώσουμε την ανίχνευση ύποπτης συμπεριφοράς των anti-ransomware ούτως ώστε να μπορούμε προληπτικά να εντοπίζουμε μελλοντικές εκδοχές.

Οι ειδικοί της Kaspersky Lab θα συνεχίσουν να εξετάζουν το θέμα για να προσδιορίσουν εάν είναι πιθανό να αποκρυπτογραφούν δεδομένα που κρυπτογραφήθηκαν έπειτα από μία επίθεση – με την πρόθεση να αναπτύξουν ένα εργαλείο αποκρυπτογράφησης το συντομότερο δυνατόν.

Συμβουλεύουμε όλες τις εταιρείες να ενημερώσουν το λογισμικό των Windows: οι χρήστες Windows XP και Windows 7, μπορούν να προστατευτούν μόνο στην περίπτωση που κατεβάσουν το patch ασφαλείας MS17-010.

Επίσης, συμβουλεύουμε όλους τους οργανισμούς να επιβεβαιώσουν ότι έχουν αντίγραφα, επικαιροποιημένα και σωστά. Σκοπός είναι ανά πάσα στιγμή να μπορούν να χρησιμοποιηθούν για την επαναφορά των πρωτότυπων αρχείων μετά από την απώλεια των δεδομένων.

Η Kaspersky Lab συμβουλεύει επίσης τους εταιρικούς πελάτες της τα εξής:

• Να ελέγχουν ότι όλοι οι μηχανισμοί προστασίας είναι ενεργοί αλλά και πως τα στοιχεία KSN και System Watcher (που είναι ενεργά από την αρχή) δεν είναι απενεργοποιημένα.
• Να χρησιμοποιούν την εφαρμογή Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm), μέρος του Kaspersky Endpoint Security, ώστε να μπορούν να αποτρέψουν την εκτέλεση από το αρχείο με το όνομα perfc.dat, και να μπλοκάρουν την εκτέλεση του PSExec utility (μέρος του Sysinternals Suite).
• Να διαμορφώσουν και να ενεργοποιήσουν τη λειτουργεία Default Deny της εφαρμογής Startup Control, μέρος του Kaspersky Endpoint Security, για να ενδυναμώσουν την προληπτική άμυνα ενάντια αυτής και άλλων επιθέσεων.

Εάν δεν έχετε τα προϊόντα της Kaspersky Lab στην συσκευή σας – χρησιμοποιήστε την εφαρμογή AppLocker των Windows OS για να απενεργοποιήσετε την εκτέλεση από οποιοδήποτε φάκελο που έχει το όνομα «perfc.dat» όπως και το PSExec utility από τη Sysinternals Suite.