[Cảnh báo] Cuộc tấn công của ransomware ExPetr

Các nhà nghiên cứu của Kaspersky Lab đang điều tra một làn sóng tấn công mới của ransomware nhắm vào các tổ chức trên toàn thế giới. Những phát hiện ban đầu của chúng tôi cho thấy đây không phải là biến thể của Ransomware Petya như các thông tin gần đây, mà thực chất là một ransomware mới chưa từng thấy trước đây. Đó là lý do tại sao chúng tôi đặt tên nó là ExPetr. 

Dữ liệu từ xa của công ty cho thấy đã có khoảng 2,000 cuộc tấn công cho đến thời điểm này. Các tổ chức bị ảnh hưởng nhiều nhất là ở Nga và Ukraine, chúng tôi cũng ghi nhận nhiều cuộc tấn công khác ở Ba Lan, Ý, Anh, Đức, Pháp, Mỹ và nhiều quốc gia khác. 

 Đây là một tấn công vô cùng phức tạp bao gồm nhiều hình thức tấn công. Chúng tôi có thể xác nhận là một lỗ hổng EternalBlue đã được chỉnh sửa và được sử dụng cho sự lây lan này trong mạng lưới doanh nghiệp. 

Kaspersky Lab phát hiện mối đe doạ này là:

• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.ExPetr.a
• HEUR:Trojan-Ransom.Win32.ExPetr.gen

Tính năng Giám Sát Hệ Thống (System Watcher) phát hiện mối đe dọa này là:

• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

Như các ransomware khác, Kasperky Lab luôn chủ động phát hiện các vector lây nhiễm bằng công nghệ phát hiện hành vi Giám Sát Hệ Thống (System Watcher). Chúng tôi cũng đang tiếp tục làm việc để nâng cao khả năng phát hiện ransomware bằng hành vi để ngăn ngừa những biến thể có thể xuất hiện trong tương lai.

Các chuyên gia Kaspersky Lab đang nghiên cứu cuộc tấn công để xem xét khả năng giải mã cho các dữ liệu bị tấn công với mong muốn phát triển công cụ giải mã càng sớm càng tốt.

Chúng tôi khuyến cáo tất cả công ty sử dụng Windows XP và Windows 7 việc cài đặt bản vá MS17-010 để bảo vệ trước đợt tấn công này.

Chúng tôi cũng khuyến cáo tất cả các tổ chức về việc sao lưu dữ liệu. Dữ liệu được sao lưu đúng lúc và đúng cách sẽ rất hữu dụng khi cần phục hồi lại các tập tin gốc trong trường hợp xấu nhất là dữ liệu bị mất. 

Các khách hàng doanh nghiệp của Kaspersky Lab cũng được khuyến nghị như sau:

• Đảm bảo các cơ chế bảo mật đã được kích hoạt như khuyến cáo; và đảm bảo thành phần KSN cũng như System Watcher được bật (thực chất được bật mặc định).
• Sử dụng thành phần Application Startup Control của giải pháp Kaspersjy Endpoint Security, người dùng có thể phòng tránh các tập tin thực thi với tên dat, và chặn việc thực thi của tính năng PSExec (một phần của Sysinternals Suite).
• Cấu hình và bật trạng thái Default Deny của thành phần Application Startup Control cỉa Kaspersky Endpoint Security để đảm bảo các phòng ngừa tối ưu chống lại đợt tấn công này cũng như các ransomware khác.

Các công ty chưa sử dung giải pháp của Kasperky được khuyến nghị:

• Sử dụng tính năng AppLocker của hệ điều hành Windows để vô hiệu hóa bất cứ tập tin thực thi nào có mang tên dat cũng như của tính năng PSExec (một phần của Sysinternals Suite)