卡巴斯基实验室的分析人员正在对一波最新的席卷全球的勒索软件攻击进行调查。我们的初步研究显示,这种最新的威胁并不是之前报道中所称的是一种Petya勒索软件的变种,而是一种之前从未见过的全新勒索软件。尽管这种勒索软件同Petya在字符串上有所相似,但功能却完全不同。我们将这种最新威胁命名为ExPetr。
卡巴斯基实验室的遥测数据显示,截止到目前,全球有约2,000名用户遭到这种勒索软件的攻击。其中,俄罗斯和乌克兰的企业和组织遭受影响最为严重。此外,我们还在波兰、意大利、英国、德国、法国、美国以及其他多个国家记录到相关攻击。
这似乎是一种复杂攻击,因为其采用了多种感染和攻击途径。可以确认的是,网络罪犯在攻击中使用了修改版的EternalBlue和EternalRomance漏洞利用程序,用于在企业网络内进行传播。
卡巴斯基实验室将这种威胁检测为:
UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen
我们的行为检测引擎——系统监控组件将这种威胁检测为:
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
截止到目前,大多数情况下,卡巴斯基实验室的行为检测引擎——系统监控组件可以主动检测到这种威胁的初始感染途径。我们还在改进基于行为的反勒索软件检测功能,以便能够主动检测未来可能出现的各种版本。
卡巴斯基实验室的安全专家仍然继续分析这一威胁,判断是否可以解密攻击后被锁定的数据。我们的目标是尽快开发出一个解密工具。
我们建议所有企业更新自己的Windows操作系统:WindowsXP和Windows7用户可以通过安装MS17-010安全补丁来确保自身安全。
我们还建议所有的企业和组织进行数据备份。正确和及时的数据备份能够让您在遭遇数据丢失事故后,恢复原始文件。
如果您的设备上没有安装卡巴斯基实验室产品,建议您使用Windows操作系统自带的AppLocker(应用锁定)功能,拦截任何文件名包含“perfc.dat”的文件执行,同时还要拦截Sysinternals Suite中的PSExec工具启用。
建议安装卡巴斯基确保您的设备安全,官网抽奖活动火热进行中。卡巴斯基官方网址:http://kaba365.com/,卡巴斯基个人产品售前咨询:400-819-1313。了解最新卡巴斯基企业安全防护解决方案,致电企业版售前:010-82147380。
