Από τα αρχικά συμπεράσματα της εταιρίας προκύπτει πως δεν είναι μία παραλλαγή του ransomware «Petya», όπως αναφέρθηκε δημόσια, αλλά ένας καινούριος τύπος ransomware που δεν έχει εμφανιστεί ποτέ ξανά. Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονομάσαμε «ExPetr».
Τα δεδομένα τηλεμετρίας της εταιρείας δείχνουν πως μέχρι τώρα έχουν πραγματοποιηθεί γύρω στις 2000 επιθέσεις. Οι οργανισμοί στη Ρωσία και στην Ουκρανία είναι αυτοί που έχουν επηρεαστεί περισσότερο, ενώ έχουν σημειωθεί αρκετές επιθέσεις στην Πολωνία, την Ιταλία, το Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία, τις Ηνωμένες Πολιτείες και σε πολλές άλλες χώρες.
Αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη αφού περιλαμβάνει διάφορους φορείς έκθεσης σε κίνδυνο. Μπορούμε να επιβεβαιώσουμε πως χρησιμοποιούνται τροποποιημένα τα exploits “EternalBlue” και “EternalRomance” από τους εγκληματίες για τη διάδοση δεδομένων μέσα από εταιρικά δίκτυα.
Στις περισσότερες περιπτώσεις μέχρι τώρα, η Kaspersky Lab προληπτικά ανίχνευε τον αρχικό φορέα μόλυνσης μέσα από τη μηχανή ανίχνευσης ύποπτης συμπεριφοράς System Watcher. Προσπαθούμε επίσης να βελτιώσουμε την ανίχνευση ύποπτης συμπεριφοράς των anti-ransomware ούτως ώστε να μπορούμε προληπτικά να εντοπίζουμε μελλοντικές εκδοχές.
Οι ειδικοί της Kaspersky Lab θα συνεχίσουν να εξετάζουν το θέμα για να προσδιορίσουν εάν είναι πιθανό να αποκρυπτογραφούν δεδομένα που κρυπτογραφήθηκαν έπειτα από μία επίθεση – με την πρόθεση να αναπτύξουν ένα εργαλείο αποκρυπτογράφησης το συντομότερο δυνατόν.
Επίσης συμβουλεύουν όλες τις εταιρείες να ενημερώσουν το λογισμικό των Windows: οι χρήστες Windows XP και Windows 7, μπορούν να προστατευτούν μόνο στην περίπτωση που κατεβάσουν το ειδικό patch ασφαλείας
Όλοι οι οργανισμοί θα πρέπει να επιβεβαιώσουν ότι έχουν αντίγραφα, επικαιροποιημένα και σωστά. Σκοπός είναι ανά πάσα στιγμή να μπορούν να χρησιμοποιηθούν για την επαναφορά των πρωτότυπων αρχείων μετά από την απώλεια των δεδομένων.
Η Kaspersky Lab συμβουλεύει όλους τους εταιρικούς πελάτες της τα εξής:
- Να ελέγχουν ότι όλοι οι μηχανισμοί προστασίας είναι ενεργοί αλλά και πως τα στοιχεία KSN και System Watcher (που είναι ενεργά από την αρχή) δεν είναι απενεργοποιημένα.
- Ένα πρόσθετο μέτρο για εταιρικούς πελάτες είναι η χρήση της εφαρμογής Privilege Control για να αρνούνται οποιαδήποτε πρόσβαση (και συνεπώς δυνατότητα αλληλεπίδρασης ή εκτέλεσης) για όλες τις ομάδες εφαρμογών στο αρχείο με το όνομα “perfc.dat” και το βοηθητικό πρόγραμμα PSexec (τμήμα της Sysinternals Suite) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm και http://support.kaspersky.com/10905#block1)
- Μπορούν εναλλακτικά να χρησιμοποιήσουν την εφαρμογή Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) του Kaspersky Endpoint Security, για να αποκλείσετε την εκτέλεση του βοηθητικού προγράμματος PSExec (μέρος της εφαρμογής Sysinternals Suite ), αλλά παρακαλούμε να χρησιμοποιήσετε το Application Privilege Control για να αποκλείσετε το “perfc.dat”.
- Να διαμορφώσουν και να ενεργοποιήσουν τη λειτουργεία Default Deny της εφαρμογής Startup Control, μέρος του Kaspersky Endpoint Security, για να ενδυναμώσετε την προληπτική άμυνα ενάντια αυτής και άλλων επιθέσεων.
Τέλος όποιοι δεν έχουν τα προϊόντα της Kaspersky Lab στην συσκευή τους μπορούν απλά να χρησιμοποιήσουν την εφαρμογή AppLocker των Windows OS για να απενεργοποιήσουν την εκτέλεση από οποιοδήποτε φάκελο που έχει το όνομα «perfc.dat» όπως και το PSExec utility από τη Sysinternals Suite.
