Как защититься от вирусных атак ExPetr пользователям продуктов для бизнеса

 

 

Общие статьи: Общие статьи

 
 
 

Как защититься от вирусных атак ExPetr пользователям продуктов для бизнеса

К разделу "Общие статьи"
2017 июн 29 ID: 13753
 
 
 
 

Эксперты «Лаборатории Касперского» продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся у нас предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

Продукты «Лаборатории Касперского» детектируют это вредоносное ПО с вердиктом:

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

Поведенческий анализатор Мониторинг системы (System Watcher) детектирует это вредоносное ПО с вердиктом:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора Мониторинг системы (System Watcher). Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных модификаций этого вымогателя.

Наши эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

Более подробную информацию об атаке вы можете найти в отчете «Лаборатории Касперского»

Для снижения рисков заражения мы рекомендуем компаниям предпринять следующие меры:

  1. Установите официальный патч от Microsoft, который закрывает используемую в атаке уязвимость:
  2. Убедитесь, что все механизмы защиты активированы, подключение к облачной инфраструктуре Kaspersky Security Network и Мониторинг системы (System Watcher) включены.
  3. Обновите базы всех используемых продуктов «Лаборатории Касперского».

В качестве дополнительной меры мы рекомендуем использовать компонент Контроль активности программ, чтобы запретить всем группам приложений доступ (а соответственно и исполнение) утилиты PSexec пакета Sysinternals и следующих файлов:

  • %windir%\dllhost.dat
  • %windir%\psexesvc.exe
  • %windir%\perfc.dat
  • %appdata%\perfc.dat
  • %appdata%\dllhost.dat
  • *\psexec.exe
  • *\psexec64.exe
 
 
 
 
 

Удаленная настройка через Kaspersky Security Center

 
 
 
 
 

Локальная настройка

 
 
 
 

Если вы не используете продукты «Лаборатории Касперского», мы рекомендуем запретить исполнение указанных ранее файлов и утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.

 
 
 
 
Была ли информация полезна?
Да Нет
 

 
 

Отзыв о сайте

Напишите нам, если не нашли нужную информацию на странице, или оставьте отзыв о работе сайта, чтобы мы сделали его лучше.

Отправить Отправить

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание