Малварь имитирующая действия локера стирает информацию в украинских компаниях
Помните ne-petya? Это то же самое, только намного хуже.
По информации Microsoft, малварь ориентирована только на украину и имитирует действия локера, на самом деле просто затирая информацию.
Как распространяется малварь пока не ясно, но ясно, что даже последние апдейты от нее не всегда помогают.
Пока что то сказать сложно, читайте отчеты Microsoft.
Рекомендуем незамедлительно обновить ОС и ПО до последних версий.
Исследователи Microsoft уже связали малварь с текущей геополитической ситуацией и заявляют, что за атаками стоит россия. 0day это или нет, еще предстоит разобраться. Но, скажите, кому ещё выгодно тереть инфу в хохляцких, и без того дырявых, системах? Это, типа, демонстрация силы? Ок, сначала похачили CMS October на госсайтах, теперь малварь эта. Только хохлам же все похуй. У них бухгалтерия в папочке, а папочка к попочке. А базы и так все можно скачать.
Indicator | Type | Description |
a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92 | SHA-256 | Hash of destructive malware stage1.exe |
dcbbae5a1c61dbbbb7dcd6dc5dd1eb1169f5329958d38b58c3fd9384081c9b78 | SHA-256 | Hash of stage2.exe |
cmd.exe /Q /c start c:\stage1.exe 1> \\127.0.0.1\ADMIN$\__[TIMESTAMP] 2>&1 | Command line | Example Impacket command line showing the execution of the destructive malware. The working directory has varied in observed intrusions. |