Rezultatele preliminare ale Kaspersky lab sugerează că nu este vorba de virusul Petya, aşa cum s-a spus, ci de un ransomware care nu a mai fost întâlnit până acum. Chiar dacă sunt câteva asemănări cu Petya, are o funcţionalitate complet diferită. Aşa că experţii în securitate cibernetică l-au denumit ExPetr.

"Datele telemetrice ale companiei indică aproximativ 2.000 de utilizatori atacaţi până acum. Organizaţiile din Rusia şi Ucraina sunt cele mai afectate, dar am înregistrat atacuri şi în Polonia, Italia, Marea Britanie, Germania, Franţa, SUA, România şi alte ţări. Pare să fie un atac complex, care implică mai mulţi vectori", au explicat experţii Kaspersky într-un comunicat de presă.

CUM SE RĂSPÂNDEŞTE?

Anterior, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) începând de marți, 26 iunie 2017, utilizatori și companii din întreaga lume, dar mai cu seamă Ucraina, au fost afectați de un nou virus de tip ransomware denumit Petya, cunoscut de asemenea și ca Petrwrap.

Infecția inițială a sistemelor se realizează prin intermediul unor documente atașate unor mesaje email de tip phishing, pe care utilizatorii sunt îndemnați să le deschidă.

De asemenea, conform unor informații publicate pe rețelele de socializare de autoritățile din Ucraina, virusul s-a răspândit și prin intermediul mecanismului de actualizare al aplicației MeDoc (populară în Ucraina).

Ca și în cazul WannaCry, odată infectată o stație de lucru dintr-o rețea, virusul utilizează multiple tehnici de răspândire laterală, inclusiv:
  • Exploatarea unor vulnerabilități rezolvate de Microsoft prin buletinul MS17-010 (CVE-2017-0144, CVE-2017-0145), prin uneltele de exploatare cunoscute ca EternalBlue (utilizat și de WannaCry), DoublePulsar și EternalRomance;
  • Capturarea unor credențiale administrative din memoria sistemului infectat și utilizarea acestora pentru răspândirea în rețea prin WMIC (Windows Management Instrumentation Command-line) și Psexec.
Conform informațiilor deținute până în prezent de CERT-RO, virusul se răspândește doar în rețeaua internă unde a avut loc infecția inițială a unei stații de lucru, utilizând următoarele tehnici de identificare a altor sisteme țintă:
  • Identificarea plăcilor de rețea de pe sistemul infectat;
  • Citirea denumirilor altor sisteme din NetBIOS;
  • Citirea informațiilor aferente DHCP (lease time)
  • Toate sistemele identificate de virus în rețelele adiacente sunt scanate pe porturile TCP/445 și TCP/139 (utilizate de protocolul SMB), iar dacă porturile sunt deschise încercă exploatarea vulnerabilităților descrise anterior.
Potrivit Bitdefender, spre deosebire de alte versiuni de ransomware, care blochează datele utilizatorilor de pe calculatoarele infectate și apoi solicită recompensă pentru a le reda accesul, acesta nu le permite victimelor să mai folosească dispozitivul infectat, dat fiind că, după ce termină procesul de criptare a datelor, forțează calculatorul să se închidă și îl face inutilizabil până la plata recompensei de 300 de dolari.

RECOMANDĂRI

CERT-RO îndeamnă toți utilizatorii să-și actualizeze cât mai urgent sistemele de operare și aplicațiile și să implementeze următoarele măsuri:
  • Utilizarea unui produs antivirus/antimalware modern și actualizat cu ultimele semnături;
  • Actualizarea la zi a sistemului de operare și aplicațiilor instalate;
  • Dezactivarea protocolului SMBv1 (sau chiar a tuturor versiunilor dacă nu sunt necesare);
  • Utilizarea unei unelte de protejare împotriva modificării neautorizate a MBR, precum cea oferită de Talos: https://www.talosintelligence.com/mbrfilter;
  • Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
  • Realizarea periodică a unor copii de siguranță (backup) pentru datele importante;
  • Implementarea măsurilor din „Ghidul privind combaterea amenințărilor de tip ransomware” elaborat de CERT-RO și disponibil la adresa: https://cert.ro/vezi/document/ghid-protectie-ransomware.