2017.06.27 –én egy új ransomware terjed el világszerte amely a megfertőzött gépek MBR-ját ( master boot record ) titkosítja le.

Az eddigi információk alapján a fertőzés emailen keresztül fertőzött Office fájlok segítségével kerülhet a gépekre (CVE-2017-0199), de Ukrajnában például egy sokak által használt adózással kapcsolatos alkalmazás frissítésével került a gépekre.

A ransomware megpróbálja a megfertőzött gépen elérhető Windows felhasználónév és jelszavakat ellopva a WannaCry során már ismert CVE-2017-0144 sérülékenységet és egyéb metódusokat (WMI) használva terjedni a hálózaton.

Gyártó függetlenül az alábbi intézkedéseket javasoljuk,

• MS17-010 Microsoft patch telepítése
• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 szereplő Microsoft patch telepítése
• psexec.exe tiltása végponti AV megoldások segítségével vagy GPO-val

Személyre szabott védekezési tervért keresse szakértő kollégáinkat.