petya Archivy - Dvojklik

Kyjevské metro napadla nová varianta ransomware Diskcoder

Tereza Malkusová — Wed, 25 Oct 2017 11:49:57 +0000

Několik dopravních společností na Ukrajině a některé nevládní organizace čelí útoku ransomware, který zašifroval jejich počítače. Podle veřejně dostupných zdrojů nefungují počítačové systémy v kyjevském metru, na mezinárodním letišti v Oděse, na ukrajinských ministerstvech infrastruktury a financí a také u řady organizací v Rusku.

ESET zjistil, že alespoň v případě metra v Kyjevě byl k útoku použit Diskcoder.D, nová varianta nechvalně proslulého ransomware Petya. Předchozí varianta Diskcoderu byla příčinou letošní červnové celosvětové kampaně ransomware.

Společnost ESET detekovala stovky výskytů škodlivého kódu Diskcoder.D, většinou v Rusku a na Ukrajině, ale také v Turecku, Bulharsku a dalších zemích. Bezpečnostní experti společnosti ESET pracují na komplexní analýze škodlivého kódu Diskcoder.D. Podle jejich předběžných zjištění používá tento ransomware k získání přístupových údajů na napadené systémy nástroj Mimikatz. Kromě toho také zároveň vytváří vlastní přístupové údaje, které nelze změnit. Analýza ransomwaru Diskcoder.D stále probíhá.

Výzva ransomware Diskcoder.D k zaplacení výkupného

IoCs:

afeee8b4acff87bc469a6f0364a81ae5d60a2add

de5c8d858e6e41da715dca1c019df0bfb92d32c0 (install_flash_player.exe)

hxxp: //1dnscontrol.com/flash_install.php

Infografika: Jak se nestát obětí ransomware?

Tereza Malkusová — Fri, 30 Jun 2017 13:38:41 +0000

Svět ohrožuje nová epidemie ransomware, PETYA se nevyhnul ani Česku

Tereza Malkusová — Wed, 28 Jun 2017 13:28:01 +0000

Nová vlna útoků vyděračského viru ransomware PETYA postihla v úterý odpoledne Ukrajinu a začala se šířit do dalších zemí včetně České republiky. Ukrajina hlásí mimořádné výpadky IT v bankovním sektoru, energetických rozvodných sítích a poštovních společnostech.

Svět ohrožuje nová epidemie ransomware, nevyhnula se ani Česku. Zdroj: ESET.

Mezi významně postiženými zeměmi je i Itálie, Izrael, Srbsko, ale také země střední a východní Evropy včetně České republiky. Ta je momentálně na deváté příčce žebříčku nejvíce zasažených států.

Společnost ESET tuto hrozbu detekuje jako Win32/Diskcoder.C Trojan

„Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik společnosti ESET. Tvůrci kódu žádají od obětí platbu 300 dolarů, jinak napadená zařízení neodšifrují.

Nový ransomware se šíří prostřednictvím kombinace SMB exploitu, který využíval i nechvalně známý ransomware WannaCry, jehož útok zasáhl před více než měsícem na 200 milionů počítačů, a programu PsExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací.

„Tato nebezpečná kombinace může být důvodem, proč se tato epidemie velmi rychle šíří po celém světě, a to i poté, co předchozí útok WannaCry široce medializoval problematiku ransomware a většina zranitelností již byla záplatována,“ vysvětluje Lipovský.

Celosvětová epidemie vypukla pravděpodobně na Ukrajině.

„Škodlivému kódu stačí, aby infikoval jediný počítač a dostal se tak do firemní sítě, kde pak malware může získat administrátorská práva a šíří se do dalších počítačů,“ konstatuje analytik společnosti ESET. Celosvětová epidemie vypukla pravděpodobně na Ukrajině. Rozsah škod způsobených novým typem ransomware ještě nebyl potvrzen. ESET zatím nezaznamenal žádné zprávy o výpadcích dodávek elektrické energie, jako tomu bylo dříve u nechvalně proslulého malwaru Industroyer.

Útok se ale rozhodně nesoustředí jen na několik vybraných zemí. Postiženo je i Španělsko, Indie a velké potíže hlásí dánská námořní společnosti Maersk či britská reklamní společnost WPP. ESET situaci průběžně monitoruje a bude o jejím vývoji informovat.