A Kaspersky Lab közleménye az ExPetr zsaroló vírusról

(2017. június 29.)

- Factory PR nyomán -

A Petya kártevővel összefüggésbe hozható újabb zsaroló támadás terjed a neten.

A Kaspersky Lab infobiztonsági cég elemzői vizsgálják azt az újabb zsaroló kártevő hullámot, amely világszerte számos szervezetet megtámadott 2017. június 27. óta.

A kutatók előzetes megállapításai szerint ez a kártevő nem egy frissített Petya zsarolóvírus variáns, amint azt a napokban több hírforrás is feltételezte - hanem egy új, korábban még nem ismert fertőzés. Az ártó kód valóban nagyon hasonló a Petya vírushoz, de teljesen más funkcionalitással rendelkezik, ezért a cég szakemberei ExPetr-nek nevezték el a fenyegetést.

A Kaspersky cég távérzékelési rendszerei eddig mintegy 2000 megtámadott felhasználót detektáltak, ezek leginkább ukrán és orosz illetőségű szervezetek, de Lengyelországban, Olaszországban, Nagy-Britanniában, Németországban, Franciaországban, az USA-ban és számos más országban is észleltek még áldozatokat.

Az ExPetr egy olyan összetett kiber-akciónak tűnik, amely több támadási irányt is magában foglal. Az orosz biztonsági cég szakemberei szerint a megfertőzött vállalati hálózatokon belüli további terjedéshez a hackerek módosított Eternal Blue és Eternal Romance támadó kódokkal látták el a kártevőt. [ Megjegyzés: ezeket az amerikai NSA elektronikus hírszerző ügynökségtől származó, titkos számítógépes hadviselési technológiákat egy alvállalkozó cég áruló alkalmazottja szivárogtatta ki a neten - Szerk. ]

Van védekezés, a visszaállításról még nem lehet biztosat mondani

A Kaspersky termékek a hagyományos vírusfelismerés, illetve a rendszer- és program-folyamat viselkedés figyelés módszerével az alábbi vírusneveken detektálják az ExPetr kártevőt: UDS: DangerousObject.Multi.Generic, Trojan-Ransom.Win32.ExPetr.a, HEUR: Trojan-Ransom.Win32.ExPetr.gen, SystemWatcher: PDM Trojan.Win32.Generic, SystemWatcher: PDM Exploit.Win32.Generic

A Kaspersky Lab szakértői jelenleg is vizsgálják az ExPetr kártevőt, hogy megállapíthassák, lehetséges-e a támadásban titkosított adatok visszafejtése, illetve egy a titkosítást automatikusan feloldó program elkészítése és közzététele.

[ Megjegyzés: frissebb elemzés szerint az ExPetr támadás egy Ukrajna állami és gazdasági működése ellen irányuló, meghibásodás és adatvesztés előidézésére irányuló kiber-szabotázs akció volt, amely szélesebb körben elszabadult. A zsaroló kártevő jelleg tehát csak álcázásként szolgált a fertőzés számára és úgy tűnik, a váltságdíj fizetés azonosító kódjai eleve működésképtelenek. Emiatt adattitkosítás helyett adat megsemmisüléssel találkozhatnak az áldozatok, a teljes vizsgálat azonban még nem fejeződött be - Szerk. ]

Legjobb megoldás a megelőzés

A baj bekövetkezésének elkerülése érdekében a Kaspersky cég azt javasolja, hogy minden vállalat frissítse operációs rendszereit, ugyanis a Windows 7 és XP platformok felhasználói az MS17-010 biztonsági javítás telepítésével megvédhetik gépeiket az ExPetr-től. Az is fontos, hogy minden szervezet rendszeresen készítsen a hálózattól távol tárolt (offline) biztonsági mentést, mivel ebben az esetben a fontos adatokat tartalmazó eredeti fájlok még egy kártevő okozta adatvesztés esetén is könnyen helyreállíthatók.

Egy további, antivírus gyártóktól független védekezési lehetőséget nyújt a Windows operációs rendszer AppLocker funkciója, amelyben a rendszergazda letilthatja a perfc.dat és a PSExec nevű segédprogramot. Ezeket a Microsoft Sysinternals Suite csomag részét képező programokat ugyanis a kártevő kihasználhatja a terjedéséhez.

Bővebb információt az ExPetr zsarolóvírusról és annak hatékony blokkolásáról a Kaspersky Lab és a Comae Technologies közös online előadásán hallhat, amelyet Juan Andres Guerrero-Saade, a Kaspersky vezető biztonsági kutatója valamint Matt Suiche, a Comae szakértője tart 2017. június 29-én, magyar idő szerint 16:00 órától. Az előadás regisztráció és résztvevői létszám limit nélkül elérhető a weben.