A Kaspersky Lab elemzőinek előzetes megállapításai arra utalnak, hogy ez nem egy Petya-féle zsarolóvírus-variáns, miként ezt a napokban több hírforrás is közzétette, hanem egy új, korábban még nem ismert zsarolóvírus. Habár a Petya vírushoz nagyon hasonló, de teljesen más funkcionalitással rendelkezik, ezért a cég szakemberei ExPetrnek nevezték el. Szerintük összetett támadásnak tűnik, amely több támadási vektort is magában foglal. A kibertanácsadó cég szakemberei megerősítik, hogy a bűnözők módosított EternalBlue és EternalRomance exploitokat használtak egy vállalati hálózaton belüli terjedéshez.
A Kaspersky Lab az alábbi neveken észlelte a vírust:
- UDS: DangerousObject.Multi.Generic
- Trojan-Ransom.Win32.ExPetr.a
- HEUR: Trojan-Ransom.Win32.ExPetr.gen
A Kaspersky Lab viselkedés-érzékelő rendszere, a SystemWatcher az alábbi neveken észleli a fenyegetést:
- PDM: Trojan.Win32.Generic
- PDM: Exploit.Win32.Generic
A legtöbb esetben mindeddig a Kaspersky Lab proaktív módon észlelte a kezdeti fertőzésvektort a biztonsági technológiája, a System Watcher segítségével, amely figyelemmel kíséri az összes fontos rendszereseményt, többek között az operációs rendszer fájljainak és konfigurációinak létrehozását és módosítását, valamint a hálózaton keresztüli programvégrehajtást és adatcserét. A Kaspersky Lab szakértői még vizsgálják a vírust a titkosítást feloldó program mielőbbi kiadása érdekében. Addig a Windows frissítését javasolják.
