Новая атака программы-вымогателя в Украине, которая может быть связана с семейством вредоносных программ Petya, стала топовой темой на страницах многочисленных СМИ и социальных медиа. В настоящее время продукты ESET обнаруживают угрозу как Win32/Diskcoder.C Trojan. В случае успешного инфицирования MBR, вредоносная программа шифрует весь диск компьютера. В других случаях угроза зашифровывает файлы, как Mischa.
Для распространения угроза, вероятно, использует эксплойт SMB (EternalBlue), который был применен для проникновения в сеть угрозой WannaCry, а затем распространяется через PsExec внутри сети.
Эта опасная комбинация может быть причиной скорости распространения Win32/Diskcoder.C Trojan, даже несмотря на то, что предыдущие инфицирования с использованием эксплойтов широко освещались в СМИ, а большинство уязвимостей было исправлено. Для проникновения в сеть Win32/Diskcoder.C Trojan достаточно лишь одного компьютера без соответствующего исправления, а дальше вредоносное программное обеспечение может получить права администратора и распространяться на другие компьютеры.
После шифрования файлов на экране жертвы отображается соответствующее сообщение с требованием о выкупе: «Если вы видите этот текст, то ваши файлы не доступны, так как они были зашифрованы ... Мы гарантируем, что вы можете восстановить все ваши файлы безопасным и легким способом. Все, что вам нужно сделать, это передать платеж [$ 300 биткойн] и приобрести ключ дешифрования».
Вероятно, программы-вымогателя инфицировала компьютеры не только украинских пользователей. Издание «The Independent» отмечает, что также могли пострадать Испания и Индия, датская судоходная компания и британская рекламная компания.
Напомним, еще в 2016 году компания ESET сообщала, что Petya осуществляет шифрование не отдельных файлов, а инфицирует файловую систему. Основной целью вредоносной программы является главная загрузочноя запись (MBR), который отвечает за загрузку операционной системы.
В связи с массовым распространением вредоносной программы специалисты ESET рекомендуют использовать актуальные версии антивирусного и другого программного обеспечения, а также настроить сегментацию сети, может помочь предотвратить распространение угрозы в корпоративной сети. Подробные рекомендации и инструкции в случае инфицирования Win32/Diskcoder.C Trojan можно найти по ссылке.
Краткая информация об угрозе:
- вариация Win32/Diskcoder.C trojan (объединяет в себе XData + WannaCry);
- внутри сети распространяется, используя PsExec, а вне сети - с помощью SMB эксплойта (функция 0x10003CA0);
- обнаружение в сервис ESET LiveGrid было добавлено 27 июня в 13:30 GMT+2.