Новая эпидемия шифровальщика Petya / NotPetya / ExPetr

Пока не до конца понятно, что это за шифровальщик: существуют предположения о том, что это какая-то вариация Petya (Petya.A или Petya.D или PetrWrap), а некоторые считают, что это все тот же WannaCry (это не так). Эксперты «Лаборатории Касперского» сейчас изучают, что это за новая напасть.

Пока мы можем сказать, что атака комплексная, в ней используется несколько векторов заражения. Один из них — все тот же эксплойт EternalBlue, который был использован для распространения WannaCry. Больше технических деталей в нашем посте на Securelist.

На данный момент продукты «Лаборатории Касперского» детектируют новую заразу с помощью Kaspersky Security Network с вердиктом UDS:DangerousObject.Multi.Generic. Поэтому вот что мы рекомендуем нашим клиентам:

Убедитесь, что у вас включены компоненты Kaspersky Security Network и Мониторинг активности.
Также рекомендуем вручную обновить антивирусные базы. Прямо сейчас. И еще пару раз обновить их в течение следующих нескольких часов.
В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite.
Установите все обновления безопасности Windows. В особенности то, которое латает дыру, используемую эксплойтом EternalBlue.

Если ваш компьютер уже заражен данным шифровальщиком и файлы заблокированы, мы не рекомендуем платить выкуп. Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.

Источник: Лабаратория Касперского