Inżynierowie z Kaspersky Lab przeanalizowali informacje dotyczące przypadków infekcji oprogramowaniem szyfrującym pliki znanym jako WannaCry, który 12 maja zaatakował wiele firm na całym świecie.
Do ataku została wykorzystana luka sieciowa Microsoft Security Bulletin MS17-010. Następnie, na zainfekowanym komputerze został zainstalowany rootkit, poprzez który był uruchamiany szkodnik szyfrujący pliki.
Wszystkie rozwiązania Kaspersky Lab wykrywają tego rootkita jako MEM:Trojan.Win64.EquationDrug.gen. Rozwiązania firmy Kaspersky Lab wykrywają także szkodliwe oprogramowanie szyfrujące pliki, które zostało użyte w tym ataku, pod następującymi nazwami:
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- PDM:Trojan.Win32.Generic (aby to złośliwe oprogramowanie zostało wykryte, musi być włączona Kontrola systemu)
- Intrusion.Win.DoublePulsar.a (aby to złośliwe oprogramowanie zostało wykryte, musi być włączone Blokowanie ataków sieciowych).
Zalecane jest, aby firmy wykonały następujące działania w celu zminimalizowania ryzyka infekcji:
- Zainstaluj oficjalną łatę Microsoft, która eliminuje lukę wykorzystywaną przez to szkodliwe oprogramowanie:
- Upewnij się, że rozwiązania antywirusowe są włączone na wszystkich punktach końcowych sieci.
- Zaktualizuj bazy danych wszystkich używanych rozwiązań firmy Kaspersky Lab.
Bardziej szczegółowe informacje na temat posiadanego rozwiązania Kaspersky Lab można znaleźć w sekcji Jak zapobiec infekcji? tego artykułu.
Eksperci z Kaspersky Lab na bieżąco analizują próbki szkodliwego oprogramowania, aby opracować możliwości odszyfrowania plików.
Więcej informacji na temat ataków WannaCry można znaleźć w raporcie Kaspersky Lab.