卡巴斯基實驗室的分析人員正在對一波最新的席捲全球的勒索軟體攻擊進行調查。我們的初步研究顯示,這種最新的威脅並不是之前報導中所稱的是一種Petya勒索軟體的變種,而是一種之前從未見過的全新勒索軟體。儘管這種勒索軟體同Petya在字串上有所相似,但功能卻完全不同。我們將這種最新威脅命名為ExPetr。
卡巴斯基實驗室的遙測資料顯示,截止到目前,全球有約2,000名使用者遭到這種勒索軟體的攻擊。其中,俄羅斯和烏克蘭的企業和組織遭受影響最為嚴重。此外,我們還在波蘭、義大利、英國、德國、法國、美國以及其他多個國家記錄到相關攻擊。
這似乎是一種複雜攻擊,因為其採用了多種感染和攻擊途徑。可以確認的是,網路罪犯在攻擊中使用了修改版的EternalBlue和EternalRomance漏洞利用程式,用於在企業網路內進行傳播。 卡巴斯基實驗室將這種威脅檢測為:
- UDS:DangerousObject.Multi.Generic
- Trojan-Ransom.Win32.ExPetr.a
- HEUR:Trojan-Ransom.Win32.ExPetr.gen
我們的行為檢測引擎系統監控元件將這種威脅檢測為:
- PDM:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
截止到目前,大多數情況下,卡巴斯基實驗室的行為檢測引擎——系統監控元件可以主動檢測到這種威脅的初始感染途徑。我們還在改進基於行為的反勒索軟體檢測功能,以便能夠主動檢測未來可能出現的各種版本。
卡巴斯基實驗室的安全專家仍然繼續分析這一威脅,判斷是否可以解密攻擊後被鎖定的資料。我們的目標是儘快開發出一個解密工具。
我們建議所有企業更新自己的Windows作業系統:Windows XP 和 Windows 7用戶可以通過安裝MS17-010安全更新來確保自身安全。
我們建議所有的企業和組織進行資料備份。正確和及時的資料備份能夠讓您在遭遇資料遺失事故後,恢復原始檔。