Nový ransomware zatím nemá ustálené označení. V komentářích některých bezpečnostních expertů se objevuje označení GoldenEye, další experti se soustředí na jeho podobnost s dalšími rodinami malware.

„Zatím není jisté, o jaký malware se přesně jedná, ale spekuluje se o variantě ransomwaru Petya, který namísto šifrování jednotlivých souborů rovnou zašifruje celý pevný disk. Check Point zjistil zapojení bota Loki, který byl použit ke krádežím přihlašovacích údajů. Naše analýza také ukazuje, že ransomware zneužíval pro své šíření SMB zranitelností,“ říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point Software Technologies.

Společnost ESET tuto hrozbu detekuje jako Win32/Diskcoder.C Trojan. „Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik společnosti ESET. Tvůrci kódu žádají od obětí platbu 300 dolarů, jinak napadená zařízení neodšifrují.

Nový ransomware se šíří prostřednictvím kombinace SMB exploitu, který využíval i nechvalně známý ransomware WannaCry, jehož útok zasáhl před více než měsícem na 200 milionů počítačů, a programu PsExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací. „Tato nebezpečná kombinace může být důvodem, proč se tato epidemie velmi rychle šíří po celém světě, a to i poté, co předchozí útok WannaCry široce medializoval problematiku ransomware a většina zranitelností již byla záplatována,“ vysvětluje Lipovský.

Odborníci společnosti Kaspersky Lab nazvali nový malware ExPetr a svými zjištěními doplnili informace o nové vlně útoků ransomwarem, která útočí na organizace po celém světě. Telemetrická data Kaspersky Lab prý zatím zaznamenala okolo 2 000 napadených uživatelů. Nejvíce obětí je zatím na území Ruska a Ukrajiny, ale mezi napadenými jsou i instituce z Polska, Itálie, Velké Británie, Německa, Francie, Spojených států a mnohých dalších zemí.

Kyberzločinci zodpovědní za tento útok požadují výměnou za opětovné zpřístupnění zašifrovaných dat výkupné ve výši 300 dolarů v bitcoinové měně. Na rozdíl od nedávného ransomwaru WannaCry se zdá, že tato technika bude fungovat, protože útočníci po svých obětech vyžadují zaslání čísel svých bitcoinových peněženek e-mailem na adresu wowsmith123456@posteo.net, čímž potvrdí svou transakci. V době, kdy byl tento komentář vydán, se v bitcoinové peněžence nashromáždilo 24 transakcí v celkové hodnotě 2,54 BTC, což je ekvivalent necelých 6 000 dolarů.

Podle Davida Emma, hlavního bezpečnostního analytika společnosti Kaspersky Lab se jedná o komplexní útok, na kterém se podílí několik aktérů. Pro šíření útoku v rámci podnikové sítě je využíván upravený exploit EternalBlue a EternalRomance.

Kaspersky Lab všem společnostem doporučuje aktualizovat svůj software Windows, uživatelům Windows XP a Windows 7 pak nainstalovat záplatu MS17-010. Doporučujeme také prověřit bezpečnostní řešení a ujistit se, že jsou zálohovaná veškerá data a aktivní ransomwarová detekce.

Pro firmy, které nevyužívají jiná bezpečnostní řešení, je doporučeno využít funkci AppLocker operačního systému Windows, která znemožňuje otevření jakýchkoliv souborů, které nesou označení „perfc.dat“, a zároveň PSExec utility (součást Sysinternals Suite).

Další informace budeme postupně doplňovat.