Как защититься от вирусных атак ExPetr пользователям продуктов для бизнеса

 

 

О вирусах: Советы по защите

 
 
 

Как защититься от вирусных атак ExPetr пользователям продуктов для бизнеса

К разделу "Советы по защите"
2018 янв 16 ID: 13753
 
 
 
 

Эксперты «Лаборатории Касперского» продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся у нас предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

Продукты «Лаборатории Касперского» детектируют это вредоносное ПО с вердиктом:

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

Поведенческий анализатор Мониторинг системы (System Watcher) детектирует это вредоносное ПО с вердиктом:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора Мониторинг системы (System Watcher). Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных модификаций этого вымогателя.

Наши эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

Более подробную информацию об атаке вы можете найти в отчете «Лаборатории Касперского»

Для снижения рисков заражения мы рекомендуем компаниям предпринять следующие меры:

  1. Установите официальный патч от Microsoft, который закрывает используемую в атаке уязвимость:
  2. Убедитесь, что все механизмы защиты активированы, подключение к облачной инфраструктуре Kaspersky Security Network и Мониторинг системы (System Watcher) включены.
  3. Обновите базы всех используемых продуктов «Лаборатории Касперского».

В качестве дополнительной меры мы рекомендуем использовать компонент Контроль активности программ, чтобы запретить всем группам приложений доступ (а соответственно и исполнение) утилиты PSexec пакета Sysinternals и следующих файлов:

  • %windir%\dllhost.dat
  • %windir%\psexesvc.exe
  • %windir%\perfc.dat
  • %appdata%\perfc.dat
  • %appdata%\dllhost.dat
  • *\psexec.exe
  • *\psexec64.exe
 
 
 
 
 

Удаленная настройка через Kaspersky Security Center

 
 
 
 
 

Локальная настройка

 
 
 
 

Если вы не используете продукты «Лаборатории Касперского», мы рекомендуем запретить исполнение указанных ранее файлов и утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.

 
 
 
 
Была ли информация полезна?
Да Нет
Спасибо!
 

 
 

Отзыв о сайте

Напишите нам, если не нашли нужную информацию на странице, или оставьте отзыв о работе сайта, чтобы мы сделали его лучше.

Отправить Отправить

Спасибо за отзыв!

Лаборатория Касперского ценит каждое мнение.
Ваш отзыв будет принят во внимание

 

Как мы можем улучшить статью?

Мы не сможем с вами связаться, если вы оставите контактные данные. Для обращения в службу поддержки используйте Личный кабинет.

Отправить Отправить

Спасибо за отзыв!

Ваши предложения помогут улучшить статью.

OK