Előzetes megállapításaik arra utalnak, hogy ez nem egy Petya-féle zsarolóvírus variáns, miként ezt a napokban több hírforrás is közzétette, hanem egy új, korábban még nem ismert zsarolóvírus. Habár a Petya vírushoz nagyon hasonló, de teljesen más funkcionalitással rendelkezik, ezért a cég szakemberei „ExPetr”-nek nevezték el. A cég telemetriai adatai eddig mintegy 2000 megtámadott felhasználót detektáltak.
A leginkább érintettek az orosz és az ukrán szervezetek, de Lengyelországban, Olaszországban, az Egyesült Királyságban, Németországban, Franciaországban, az Egyesült Államokban és számos más országban is észleltek még áldozatokat.
Ez egy összetett támadásnak tűnik, amely több támadási vektort is magában foglal. A kibertanácsadó cég szakemberei megerősítik, hogy a bűnözők módosított EternalBlue és EternalRomance exploitokat használtak egy vállalati hálózaton belüli terjedéshez.
A Kaspersky Lab az alábbi neveken észlelte a vírust:
• UDS: DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.ExPetr.a
• HEUR: Trojan-Ransom.Win32.ExPetr.gen
• PDM: Trojan.Win32.Generic
• PDM: Exploit.Win32.Generic
A Kaspersky Lab szakértői még vizsgálják a vírust, hogy megállapíthassák, lehetséges-e a támadásban titkosított adatok visszafejtése azzal a céllal, hogy a titkosítást feloldó programot a lehető leghamarabb kiadhassák.
A cég javasolja, hogy minden vállalat frissítse a Windows szoftvert: a Windows XP és a Windows 7 operációs rendszert használók az MS17-010 biztonsági javítás telepítésével védhetik meg rendszereiket. Azt is tanácsolják, hogy minden szervezet készítsen biztonsági mentést fontos adatairól, mivel ezek a mentések az eredeti fájlok elvesztése után könnyedén visszaállíthatók.
A német belügyminiszter értékelése szerint.
