По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D – новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 года.
О шифраторе Diskcoder.D
Специалисты ESET работают над анализом Diskcoder.D. По предварительным данным, вредоносное ПО использует инструмент Mimikatz для извлечения учетных данных в зараженных системах. Кроме того, в нем предусмотрен жестко закодированный список учетных данных.
Индикаторы компрометации
afeee8b4acff87bc469a6f0364a81ae5d60a2add
de5c8d858e6e41da715dca1c019df0bfb92d32c0 (install_flash_player.exe)
hxxp://1dnscontrol.com/flash_install.php
Антивирусные продукты ESET детектируют шифратор как Win32/Diskcoder.D. Угроза добавлена в базы данных вирусных сигнатур с обновлением 16295 24 октября в 15:10 по московскому времени, с 13:00 блокировалась современными эвристическими и облачными технологиями защиты.
Добавление вирусной сигнатуры позволит защитить даже тех пользователей, которые используют устаревшие версии продуктов ESET.