Sammenfatning
ESET-kundevejledning 2017-0012
27. juni 2017
Alvorlighed: Kritisk
Opsummering
Denne meddelelse har til formål at advare brugere om den nye trussel Diskcoder.C. Denne ransomware ser ud til at være en version af Petya. Hvis det lykkes at inficere main boot record (MBR) på en computer, vil den kryptere hele det drev, som MBR'en er placeret på. Når infektionen ikke påvirker en MBR, vil den stadig kryptere alle filer i lighed med Mischa-malwaren.
Denne infektion spredes ved hjælp af en kombination af SMB-exploit (EternalBlue), der bruges af WannaCryptor til at få netværksadgang, og den spredes derefter på tværs af netværket ved hjælp af PsExec. ESET-produkter med netværksdetektering blokerer EternalBlue, og ESET giver gratis instruktioner til at tjekke dit system for EternalBlue og opdatere Windows for at afbøde denne udnyttelse focus.
Denne farlige kombination er en mulig årsag til, at dette udbrud har spredt sig globalt så hurtigt, selv efter at de tidligere udbrud har skabt overskrifter i medierne og opfordret brugerne til at patche deres systemer. En infektion som denne kan kompromittere et helt netværk, hvis en enkelt maskine ikke bliver patchet, ved at få administrative rettigheder, der gør det muligt at sprede den til andre maskiner.
ESET-forskere har lokaliseret oprindelsen til denne globale epidemi. Angribere har med succes kompromitteret regnskabssoftwaren M.E.Doc, der er populær i forskellige brancher i Ukraine, herunder finansielle institutioner.
En trojansk opdatering af M.E.Doc gjorde det muligt for angriberne at starte den massive ransomware-kampagne, der spredte sig over hele Ukraine og derefter til mål i andre lande.
