24 октября российские СМИ, а также транспортные компании и государственные учреждения Украины подверглись атаке шифратора. По данным открытых источников, в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, редакции «Интерфакса» и «Фонтанки».
По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D — новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 года.
Система телеметрии ESET в настоящее время фиксирует сотни атак Diskcoder.D. Большинство срабатываний антивирусных продуктов ESET приходится на Россию и Украину, затронуты также Турция, Болгария и некоторые другие страны.
Специалисты ESET работают над анализом Diskcoder.D. По предварительным данным, вредоносное ПО использует инструмент Mimikatz для извлечения учетных данных в зараженных системах. Кроме того, в нем предусмотрен жестко закодированный список учетных данных.
Антивирусные продукты ESET детектируют шифратор как Win32/Diskcoder.D. Угроза добавлена в базы данных вирусных сигнатур с обновлением 16295. Добавление вирусной сигнатуры позволит защитить даже тех пользователей, которые используют устаревшие версии продуктов ESET.
