6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Eset: источником эпидемии шифратора Petya.C стало скомпрометированное обновление программы M.E.Doc

В ESET нашли источник вируса Petya, а эксперты заявили о невозможности восстановить данные после кибератаки

Специалисты ESET установили источник эпидемии трояна-шифратора Win32/Diskcoder.C Trojan (Petya.С). Хакеры скомпрометировали бухгалтерское программное обеспечение M.E.Doc, широко распространенное в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало атаке, охватившей страны Европы, Азии и Америки, говорится в официальном сообщении компании.

По данным системы телеметрии ESET, большинство срабатываний антивирусных продуктов ESET NOD32 пришлось на Украину, Италию и Израиль.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET обозначают ее как Win32/Diskcoder.C Trojan. Если Win32/Diskcoder.C Trojan успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

“Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы”, – поясняют в ESET.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности.

есмотря на то, что компания Microsoft достаточно давно выпустила обновления, закрывающие данные уязвимости, не все пользователи установили их и до сих пор подвержены заражению подобным вирусам, пишут «Известия». Поэтому это не последнее массовое заражение и такие атаки могут повториться в будущем, отметили в ESET Russia.

Жертвы последней крупной кибератаки, которая была проведена с помощью вируса-вымогателя Petya, не смогут вернуть свои файлы. Об этом говорится в записи на официальном сайте «Лаборатории Касперского».

Исследователи Лаборатории Касперского проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.

Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае Expetr (aka NotPetya) этого идентификатора нет (‘installation key’, который показывает ExPetr — это ничего не значащий набор случайных символов). Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные. Так что и платить выкуп не стоит. Это не поможет вернуть файлы.

Читать еще:  Как изменить тип файла изображения?

Пресс-центр

ESET: источником эпидемии шифратора Petya.C стало скомпрометированное обновление программы M.E.Doc

Специалисты ESET установили источник эпидемии трояна-шифратора Win32/Diskcoder.C Trojan (Petya.С). Злоумышленники скомпрометировали бухгалтерское программное обеспечение M.E.Doc, широко распространенное в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало атаке, охватившей страны Европы, Азии и Америки.

По данным системы телеметрии ESET, большинство срабатываний антивирусных продуктов ESET NOD32 пришлось на Украину, Италию и Израиль.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan. Если Win32/Diskcoder.C Trojan успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Рекомендации для пользователей:

  1. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения.
  1. Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке.
  1. По необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке.
  1. При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего антивирусного вендора.
  1. Если заражение произошло, не рекомендуем платить выкуп злоумышленникам. Почтовый адрес злоумышленников был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена.
  1. Домашние пользователиESET. Установить обновление антивирусного продукта. ESET NOD32 детектирует новую модификацию Petya.C начиная с 14:30 по московскому времени 27 июня.
  1. Корпоративные пользователиESET. Отправить обновления на все рабочие станции или установить обновление.
Читать еще:  Здоровый программист — счастливый программист

ESET: установлен источник Petya.C.

Местоположение: г. Москва, ул. Ленинская Слобода, д. 26 Посмотреть на карте

Аналитики ESET установили, что злоумышленники скомпрометировали бухгалтерское ПО M.E.Doc, широко распространенное в украинских компаниях. Некоторые корпоративные пользователи установили обновление программы, которое было заражено трояном-шифратором, что запустило глобальную эпидемию в Европе, Азии и Америке.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

По данным системы телеметрии ESET, большинство атак шифратора Petya, отраженных антивирусными продуктами ESET на рабочих станциях, приходится на Украину, Германию и Польшу. Россия вошла в первую десятку атакуемых по итогам второго дня эпидемии.

________________________________________

Рекомендуемый продукт: ESET NOD32 Smart Security Business Edition
Комплексная защита рабочих станций, мобильных устройств и файловых серверов. от 1032 руб/год. Подробнее>>
________________________________________

ESET установила, что пострадавшие от эпидемии Petya системы имели доступ к украинским сетям через VPN. В настоящее время у вредоносной программы не обнаружено функций, позволяющих распространяться за пределы локальных сетей.

Источником эпидемии стала компрометация программного обеспечения для отчетности и документооборота украинской компании M.E.Doc. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, что стало началом масштабной атаки, охватившей страны Европы, Азии и Америки.

Вредоносная программа является новой модификацией семейства Petya. Шифратор пытается инфицировать главную загрузочную запись (MBR — Master Boot Record), если попытка успешна, он зашифрует весь жесткий диск, в противном случае – все файлы.

Шифратор распространяется внутри сетей посредством PsExec и SMB-эксплойта EternalBlue, который ранее обусловил массовый характер заражения WannaCry. Это сочетание обуславливает высокую скорость развития эпидемии.

Читать еще:  IntelliJ IDEA 2018.1 — улучшенный анализ кода, поддержка частичных коммитов Git, Android Studio 3.0 и многое другое

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Статьи c упоминанием слов: