Как защититься от атак ExPetr пользователям продуктов для бизнеса

 

Об угрозах: Советы по защите

 
 
 

Как защититься от атак ExPetr пользователям продуктов для бизнеса

К разделу "Советы по защите"
Статья обновлена: 2019 сен 27 ID: 13753
 
 
 
 

Эксперты «Лаборатории Касперского» продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся у нас предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

Продукты «Лаборатории Касперского» детектируют это вредоносное ПО с вердиктом:

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

Поведенческий анализатор Мониторинг системы (System Watcher) детектирует это вредоносное ПО с вердиктом:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора Мониторинг системы (System Watcher). Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных модификаций этого вымогателя.

Наши эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

Более подробную информацию об атаке вы можете найти в отчете «Лаборатории Касперского»

Для снижения рисков заражения мы рекомендуем компаниям предпринять следующие меры:

  1. Установите официальный патч от Microsoft, который закрывает используемую в атаке уязвимость:
  2. Убедитесь, что все механизмы защиты активированы, подключение к облачной инфраструктуре Kaspersky Security Network и Мониторинг системы (System Watcher) включены.
  3. Обновите базы всех используемых продуктов «Лаборатории Касперского».

, чтобы запретить всем группКонтроль активности программВ качестве дополнительной меры мы рекомендуем использовать компонент ам приложений доступ (а соответственно и исполнение) утилиты PSexec пакета Sysinternals и следующих файлов:

  • %windir%\dllhost.dat
  • %windir%\psexesvc.exe
  • %windir%\perfc.dat
  • %appdata%\perfc.dat
  • %appdata%\dllhost.dat
  • *\psexec.exe
  • *\psexec64.exe
 
 
 
 
 

Удаленная настройка через Kaspersky Security Center

 
 
 
 
 

Локальная настройка

 
 
 
 

Если вы не используете продукты «Лаборатории Касперского», мы рекомендуем запретить исполнение указанных ранее файлов и утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.

 
 
 
 
Была ли информация полезна?
Да Нет
Спасибо!
 

 
 

Как мы можем улучшить статью?

Ваш отзыв будет использован только для улучшения этой статьи. Если вам нужна помощь по нашим продуктам, обратитесь в техническую поддержку «Лаборатории Касперского».

Отправить Отправить

Спасибо за отзыв!

Ваши предложения помогут улучшить статью.

OK