Масова атака програми-вимагача в Україні може досягти глобальних масштабів

Наступна новина

Нова атака програми-вимагача в Україні, яка може бути пов'язана з сімейством шкідливих програм Petya, стала топовою темою на сторінках численних ЗМІ та соціальних медіа. На даний час продукти ESET виявлять загрозу як Win32/Diskcoder.C Trojan. У разі успішного інфікування MBR, шкідлива програма шифрує весь диск комп’ютера. В інших випадках загроза зашифровує файли, як Mischa.

Для розповсюдження загроза, ймовірно, використовує експлойт SMB (EternalBlue), який був застосований для проникнення в мережу загрозою WannaCry, а потім поширюється через PsExec всередині мережі.

Ця небезпечна комбінація може бути причиною швидкості розповсюдження Win32/Diskcoder.C Trojan, навіть попри те, що попередні інфікування з використанням експлойту широко висвітлювалися в ЗМІ, а більшість уразливостей було виправлено. Для проникнення в мережу Win32/Diskcoder.C Trojan достатньо лише одного комп'ютера без відповідного виправлення, а далі шкідливе програмне забезпечення може отримати права адміністратора та поширюватися на інші комп'ютери.

Після шифрування файлів на екрані жертви відображається відповідне повідомлення з вимогою про викуп: «Якщо ви бачите цей текст, то ваші файли не доступні, тому що вони були зашифровані... Ми гарантуємо, що ви можете відновити всі ваші файли безпечним і легким способом. Все, що вам потрібно зробити, це надіслати платіж [$300 біткойн] і придбати ключ дешифрування».

Ймовірно, програми-вимагача інфікувала комп’ютери не лише українських користувачів. Видання «The Independent» зазначає, що також могли постраждати Іспанія та Індія, датська судноплавна компанія та британська рекламна компанія.

Нагадаємо, ще у 2016 році компанія ESET повідомляла, що Petya здійснює шифрування не окремих файлів, а інфікує файлову систему. Основною метою шкідливої програми є головний завантажувальний запис (MBR), який відповідає за завантаження операційної системи.

У зв’язку з масових поширенням шкідливої програми спеціалісти ESET рекомендують використовувати актуальні версії антивірусного та іншого програмного забезпечення, а також налаштувати сегментацію мережі, що може допомогти запобігти розповсюдженню загрози в корпоративній мережі. Детальніші рекомендації та інструкції у випадку інфікування Win32/Diskcoder.C Trojan можна знайти за посиланням.

У разі якщо Ваш комп’ютер вже інфіковано, будь ласка, напишіть запит до служби технічної підтримки ESET в Україні на електронну адресу support@eset.ua та виконайте інфструкції, подані у документі, доступному за посиланням.

Коротка інформація про загрозу:

  • варіація Win32/Diskcoder.C trojan (поєднує в собі XData + WannaCry);
  • у мережі розповсюджується, використовуючи PsExec, а поза мережею - за допомогою SMB експлойта (функція 0x10003CA0);
  • виявлення у сервіс ESET LiveGrid було додано 27 червня об 13:30 GMT+2.