Решенията на ESET засичат вируса с името Win32/Diskcoder.C Trojan – и предпазват от зловредни кодове, използващи механизма за разпространение EternalBlue – който е в основата на атаката с Petya и WannaCry преди месец.

Най-засегната от атаката е Украйна – където са засечени над 75% от опитите за зараза със зловредния код, показват данните на ESET. Малко над 9% са опитите за зараза в Германия, а близо 6% са засечените в Полша. В България няма отчетени опити за зараза с Petya.

Повече информация за начините за защита от вируса може да намерите по-долу.

Анализаторите на ESET са успели да локализират източника на глобалната епидемия. Кибер-престъпниците са използвали успешно счетоводният софтуер M.E.Doc, популярен в множество индустрии в Украйна – сред чийто клиенти има множество финансови институции. Няколко от тях са инсталирали заразен ъпдейт на M.E.Doc, който е позволил на атакуващите да стартират масирана кампания за разпространение на вируса и да го разпространят в няколко европейски държави.

Как работи Petya?

Зловредният код Petya атакува MBR (master boot record) на компютъра. Това е ключова част от стартовата система, която съдържа информация за разделенията на харддиска и помага за зареждането на операционната система.

Ако вирусът успее да зарази MBR, той криптира целият харддиск. В противен случай, ще засегне само файловете на него.

Новият зловреден код използва комбинация от експлойта EternalBlue, използван за разпространението на WannaCry, за да проникне в мрежата – след което се разпространява посредством PsExec.

Очаквайте продължение.

Новата вълна на познатия от началото на годината WannaCryptor е засечена първо в Испания и по-конкретно – в телеком сектора на страната. В последствие вирусът се превърна в епидемия, която превзе и Латинска Америка (където съобщението за заразата се появява на испански език) и други континенти.

Сред засегнатите от атаката сектори са телекоми, банки, здравни организации и редица онлайн магазини.

Най-лошият ефект от действието на вируса е, че той криптира всички файлове за заразената машина, а единствената възможност за възстановяването на информацията е създателят на кода. Или налично резервно копие на информацията, от които да бъде възстановена. Откупът, искан от вируса, е 300 USD, което е доста под средното за „индустрията“ от около 500 USD. Истинската му цена обаче е загубеното време, информация на клиенти и партньори – и щетите върху имиджа.

За да се предпазите от атаката, препоръчваме да предприемете следното:

• Задължително инсталирайте антивирусен софтуер. Решенията на ESET засичат Win32/Filecoder.WannaCryptor.D още преди масовото му откриване – и дори преди създаването на вируса – блокирайки опитите за зараза с него. Потребителите, използващи системата ESET LiveGrid са защитени още преди публикуването на дефинициите за зловредния код.
• Ъпдейтнете операционната си система. Задължително! Инсталирайте максимално бързо този патч, за да спрете WannaCryptor. Препоръчваме да инсталирате и всички ъпдейти от този линк, за да се предпазите от евентуално експлоатиране на останалите пробойни, разкрити в т.нар. NSA Files. Microsoft публикува и специален патч за по-стари версии на операционната си система Windows, които официално вече не се поддържат. Може да свалите ъпдейта за Windows XP, Vista, Windows 8, Server 2003 и 2008 ето тук.
• Внимавайте къде кликате! И обучете служителите си да го правят. Най-честата тактика за разпространение на този вид атаки са привидно безобидни мейли с „важни“ съобщения. Не се хващайте на тази кукичка!

• Мощно и семпло решение за криптиране за организации от всякакъв мащаб
• Криптира харддискове, памети и имейли
• FIPS 140-2 валидирано 256-битово AES криптиране за максимално ниво на защита
• Хибриден сървър за управление – комбинация между облака и локално решение за пълна отдалечена администрация на потребителски устройства и налагане на политики
• Поддръжка на Microsoft® Windows® 8, 8.1, включително UEFI и GPT