[CA6489] Šírenie trójskeho koňa Win32/Diskcoder.C

Zhrnutie

ESET Customer Advisory 2017-0011

27. jún 2017

Závažnosť: Veľmi dôležité

Popis

Cieľom tohto článku je upozorniť používateľov na výskyt novej hrozby Diskcoder.C. Ide o ransomware, ktorý je verziou staršieho škodlivého kódu s názvom Petya. Ak úspešne infikuje hlavný spúšťací sektor pevného disku (MBR sektor), zašifruje kompletne celý tento disk. I keď sa infekcia nedostane až k MBR sektoru, budú zašifrované všetky súbory na zariadení, podobne ako v prípade malvéru Mischa.

Podobne ako ransomware WannaCryptor aj tento škodlivý kód zneužíva na úspešné preniknutie do siete zraniteľnosť protokolu SMB (exploit EternalBlue). Následne sa v sieti šíri prostredníctvom nástroja PsExec. Bezpečnostné produkty ESET, ktorých súčasťou je detekcia malvéru v sieti, dokážu úspešne blokovať hrozby zneužívajúce zraniteľnosť EternalBlue. V tomto článku nájdete pokyny pre použitie bezplatného nástroja spoločnosti ESET, ktorý vám umožňuje skontrolovať, či máte nainštalované najnovšie bezpečnostné záplaty chrániace operačný systém voči exploitu EternalBlue.

 

Nebezpečná kombinácia exploitu Eternal Blue a zneužitia nástroja PsExec je jedným z dôvodov, ktoré viedli k rýchlemu rozšíreniu tohto druhu ransomware, hoci po poslednom útoku škodlivým kódom WannaCry prispeli médiá k tomu, aby si používatelia a firmy na svojich zariadeniach stiahli a nainštalovali bezpečnostné aktualizácie operačného systému. Na to, aby sa tento nový ransomware dostal do firemnej siete, stačí len jeden jediný neaktualizovaný počítač – škodlivý kód vie následne získať práva správcu a rozšíriť sa na ďalšie zariadenia v sieti.

Odborníci spoločnosti ESET identifikovali počiatočné štádium tejto novej vlny kybernetických útokov. Útočníkom sa podarilo napadnúť a zneužiť účtovný softvér M.E.Doc, ktorý je na Ukrajine vo veľkom využívaný vo viacerých priemyselných odvetviach, ako aj vo finančných inštitúciách. Viacero firiem spustilo aktualizáciu tohto softvéru, ktorá obsahovala škodlivý kód – trojského koňa, čo útočníkom umožnilo spustiť sériu ransomware útokov, ktoré sa rozšírili po celej Ukrajine a neskôr aj na konkrétne ciele v ďalších krajinách.

Customer Advisory

Riešenie

Inštrukcie, ako sa proti tejto hrozbe brániť, nájdete v článku našej Databázy znalostí.

Kontaktujte nás

02/322 44 444 (pracovné dni 8:00-18:30)

Viac informácií