«Лаборатория Касперского» подсчитала число жертв нового вируса и назвала его ExPetr

Число жертв нового вируса-шифровальщика достигло двух тысяч, говорится в сообщении «Лаборатории Касперского, поступившем в редакцию vc.ru. Вирус, который изначально приняли за шифровальщика Petya.A, в компании назвали ExPetr.

Больше всего атак «Лаборатория Касперского» зафиксировала в России и на Украине. Также наблюдались случаи заражения компьютеров в Польше, Италии, Великобритании, Германии, Франции, США и других странах.

По предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью.

Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

— «Лаборатория Касперского»

По данным компании Group-IB, которая специализируется на информационной безопасности, вирусом были заражены компьютерные сети более 100 компаний по всему миру. Компания зафиксировала атаки на компании России, Украины, США, Индии, Австралии, Эстонии и других стран.

По словам специалистов Group-IB, злоумышленники распространяют вирус с помощью фишинговой рассылки на электронную почту сотрудников компаний. Для заражения всей корпоративной сети достаточно инфицировать один компьютер с учётной записью администратора, предупредили в Group-IB.

Масштабная кибератака произошла 27 июня. В России от вируса-вымогателя пострадали «Роснефть», структуры «Башнефти», несколько банков, включая «Хоум кредит», металлургическая компания Evraz, на Украине — органы власти, киевский метрополитен, телеком-операторы, логистические организации «Укрпошта» и «Нова пошта», завод «Антонов», Чернобыльская АЭС.

Вирус блокировал компьютеры, шифруя данные, и требовал перевести $300 на указанный биткоин-кошелёк в обмен на расшифровку. По состоянию на 13:00 по московскому времени жертвы атаки перевели на счёт злоумышленников более $9 тысяч. При этом почтовый адрес, который использовали вымогатели, был заблокирован.

Изначально в Group-IB предположили, что в атаке используется вирус Petya.A, обнаруженный ещё в апреле 2016 года. Однако в «Лаборатории Касперского» заметили, что новый вирус не похож на Petya.A и другие существующие вымогальщики. В компании посоветовали активировать мониторинг системы и заблокировать файлы, под которые маскируется вирус.

Специалисты Symantec выяснили, что в момент атаки вирус ищет файл C:\Windows\perfc, и если такой файл на компьютере уже есть, вирус заканчивает работу без заражения.

Создать файл можно с помощью стандартного приложения «Блокнот», прописав расширение .dll. Специалисты также рекомендуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.

В Microsoft заявили, что антивирусные программы компании способны обнаружить вирус и защитить от него компьютер пользователя.

33
7 комментариев

"распространяют вирус с помощью фишинговой рассылки на электронную почту сотрудников компаний" – года идут, ничего не меняется.
Просто посмотрите на громкий список пострадавших. Их просто обманули детским способом, как 20 лет назад, когда вирусы не звучали как свинки. :)

4

Какая же винда дырявая

1

Не винда, головы)

1

Ждём вестей из Припяти )))

Давно это read only под виндой работает? Всегда работало только если программа специально проверяет его

Надо уволить тех сисадминов, которые после ВанаКрай не додумались обновить системы и закрыть дыры.
Лично знаком с ситуацией на одном крупном предприятии, там сисы такие олухи, что теперь за головы хватаются, весь завод лежит, людей по домам отправили..