Нова атака програми-вимагача в Україні, яка може бути пов'язана з сімейством шкідливих програм Petya, стала топовою темою на сторінках численних ЗМІ та соціальних медіа. На даний час продукти ESET виявлять загрозу як Win32/Diskcoder.C Trojan. У разі успішного інфікування MBR, шкідлива програма шифрує весь диск комп’ютера. В інших випадках загроза зашифровує файли, як Mischa.
Для розповсюдження загроза, ймовірно, використовує експлойт SMB (EternalBlue), який був застосований для проникнення в мережу загрозою WannaCry, а потім поширюється через PsExec всередині мережі.
Ця небезпечна комбінація може бути причиною швидкості розповсюдження Win32/Diskcoder.C Trojan, навіть попри те, що попередні інфікування з використанням експлойту широко висвітлювалися в ЗМІ, а більшість уразливостей було виправлено. Для проникнення в мережу Win32/Diskcoder.C Trojan достатньо лише одного комп'ютера без відповідного виправлення, а далі шкідливе програмне забезпечення може отримати права адміністратора та поширюватися на інші комп'ютери.
Після шифрування файлів на екрані жертви відображається відповідне повідомлення з вимогою про викуп: «Якщо ви бачите цей текст, то ваші файли не доступні, тому що вони були зашифровані... Ми гарантуємо, що ви можете відновити всі ваші файли безпечним і легким способом. Все, що вам потрібно зробити, це надіслати платіж [$300 біткойн] і придбати ключ дешифрування».
Ймовірно, програми-вимагача інфікувала комп’ютери не лише українських користувачів. Видання «The Independent» зазначає, що також могли постраждати Іспанія та Індія, датська судноплавна компанія та британська рекламна компанія.
Нагадаємо, ще у 2016 році компанія ESET повідомляла, що Petya здійснює шифрування не окремих файлів, а інфікує файлову систему. Основною метою шкідливої програми є головний завантажувальний запис (MBR), який відповідає за завантаження операційної системи.
У зв’язку з масових поширенням шкідливої програми спеціалісти ESET рекомендують використовувати актуальні версії антивірусного та іншого програмного забезпечення, а також налаштувати сегментацію мережі, що може допомогти запобігти розповсюдженню загрози в корпоративній мережі. Детальніші рекомендації та інструкції у випадку інфікування Win32/Diskcoder.C Trojan можна знайти за посиланням.
У разі якщо Ваш комп’ютер вже інфіковано, будь ласка, напишіть запит до служби технічної підтримки ESET в Україні на електронну адресу support@eset.ua та виконайте інфструкції, подані у документі, доступному за посиланням.
Коротка інформація про загрозу:
- варіація Win32/Diskcoder.C trojan (поєднує в собі XData + WannaCry);
- у мережі розповсюджується, використовуючи PsExec, а поза мережею - за допомогою SMB експлойта (функція 0x10003CA0);
- виявлення у сервіс ESET LiveGrid було додано 27 червня об 13:30 GMT+2.