Krajský akční plán rozvoje vzdělávání Kraje Vysočina

Virus využívá pro injekci kódu (pro spuštění hlavní binárky) nástroj PSEXEC, tedy  nástroj pro vzdálené spouštění příkazů na serveru. Jakmile je kód injektován, proces svchost.exe spouští samotný proces šifrování souborů. Zatím objevený ransomware přidává k zašifrovaných souborům koncovku .protect (.pr0tect).
Tento ransomware je schopen šifrovat i share na síti. Prvně provádí discovery sítě a na live hostech provádí discovery otevřených share.

Na tomto odkazu naleznete další detaily: http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
včetně opatření, pomocí nichž se lze této hrozbě bránit.

Opatření jsou poměrně obecná:
- omezit write oprávnění uživatelům
- omezit oprávnění ke spouštění psexec
- účinně a bezpečně zálohovat data
- používat silná hesla (nejen) pro administrátory
- včas provádět záplaty systémů a aplikací