「WannaCry」同様、Windows SMB v1の脆弱性「MS17-010」を突いて感染を広げる新種のランサムウェアが27日以降、ウクライナを中心に世界各地に感染を拡大していることについて、米SANS ISC（Internet Storm Center）や、Bitdefender、Kaspersky、Symantec、Avastなどのセキュリティベンダー各社が注意を喚起している。

2016年に出現したランサムウェア「Petya」の新しい亜種となるもので、Bitdefenderでは「GoldenEye」と名付けている。Petyaは、HDDのMBR（マスターブートレコード）を暗号化し、PCを起動不能にした上で、ビットコインで300ドルの身代金要求メッセージを表示するが、今回登場したGoldenEyeは、MBRに加えてファイルの暗号化も行う。

SymantecやKasperskyによれば、これまでのPetyaは標的型攻撃に悪用されていたが、今回のGoldenEyeは、MS17-010を悪用して、ネットワーク内PCへ感染を拡大するという。

このほか、Word／ワードパッドの脆弱性「CVE-2017-0199」を悪用し、メールの添付ファイルを開くと感染するとの一部情報もある。さらに、Telnetに代わるWindows用のリモートアクセスユーティリティ「PsExec」や、Windowsのコマンドラインツール「WMIC」を悪用する可能性も一部では指摘されている。

Bitdefenderによれば、チェルノブイリ原子力発電所の放射線モニタリングシステム、ウクライナの銀行、キエフの空港や地下鉄のほか、デンマーク、英国、ロシアにも感染が拡大しているという。

Petya自体に対してはすでに復号化ツールも存在しているが、GoldenEyeにより暗号化されたMBRとファイルの復号は現時点では不可能だ。Avast Softwareによれば、GoldenEyeに感染したPCの比率は、Windows 7が78％、Windows XPが14％、Windows 10が6％、Windows 8.1が2％となっている。