Шифровальщик Petya / NotPetya / ExPetr: рекомендации специалистов «Лаборатории Касперского»

28. 06. 2017

Вчера (27 июня 2017) началась эпидемия нового шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.
Есть множество сообщений о том, что от новой заразы пострадало несколько крупных компаний про всему миру, и, похоже, масштабы бедствия будут только расти.

Существовали предположения о том, что это все тот же WannaCry (это не он), а также, что это какая-то вариация шифровальщика Petya (Petya.A или Petya.D или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому его можно выделить в отдельное семейство ExPetr.

Эксперты «Лаборатории Касперского» продолжают изучать, что это за новая напасть. Пока можно сказать, что атака комплексная, в ней используется несколько векторов заражения. Один из них — все тот же эксплойт EternalBlue, который был использован для распространения WannaCry.

На данный момент продукты «Лаборатории Касперского» детектируют новую заразу со следующими вердиктами:

  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen
  • UDS:DangerousObject.Multi.Generic (детект компонентом Kaspersky Security Network)
  • PDM:Trojan.Win32.Generic (детект компонентом Мониторинг активности)
  • PDM:Exploit.Win32.Generic (детект компонентом Мониторинг активности)

Корпоративным клиентам для защиты от шифровальщика возможно предпринять следующее:

  • Убедитесь, что в нашем продукте включены компоненты Kaspersky Security Network и Мониторинг активности.
  • Обновите антивирусные базы вручную.
  • Установите все обновления безопасности Windows. В особенности MS17-010, которое "латает дыру", используемую эксплойтом EternalBlue.
  • В качестве дополнительной меры предосторожности с помощью компонента Контроль активности программ Kaspersky Endpoint Security запретите всем программам доступ к файлу perfc.dat и приложению PSExec (часть Sysinternals Suite).
  • В качестве альтернативы для предотвращения запуска PSExec можно использовать компонент Контроль запуска программ Kaspersky Endpoint Security. Однако обязательно используйте Контроль активности программ для запрета доступа к perfc.dat.
  • Настройте режим Запрет по умолчанию компонента Контроль активности программ для проактивного противодействия этой и другим угрозам.
  • Также для запрета выполнения файла perfc.dat и утилиты можно использовать Windows AppLocker.
  • Сделайте резервные копии файлов.


Не платите выкуп! Если ваш компьютер уже заражен данным шифровальщиком и файлы заблокированы, не рекомендуется платить выкуп. Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.

Статья подготовлена по материалам блога «Лаборатории Касперского». Оригинал новости: https://blog.kaspersky.ru/new-ransomware-epidemics/17855/

Приобрести надежную защиту «Лаборатории Касперского»  или получить консультацию специалиста по настройке антивируса вы можете, написав нам на почту sales@asterit.ru