Специалисты ESET изучают новую эпидемию трояна-шифратора. По предварительным оценкам, вредоносная программа относится к семейству Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder. C Trojan.

ESET предполагают, что для проникновения шифратора в корпоративную сеть используется SMB-эксплойт, подобный EternalBlue, который стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.

Если Win32/Diskcoder. C Trojan успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

Продукты ESET детектируют Win32/Diskcoder. C Trojan, начиная с 14:30 по московскому времени, а также защищают от эксплойт-атак на сетевом уровне.

Рекомендации для пользователей ESET NOD32:

1. Домашние пользователи. Установить обновление антивирусного продукта.

2. Корпоративные пользователи. Отправить обновления на все рабочие станции.

3. Убедитесь, что на компьютере установлены все текущие обновления безопасности Windows.