FreeSafety | Помощь по антивирусам Касперского Эксперты «Лаборатории Касперского» продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся у нас предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.
На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.
Продукты «Лаборатории Касперского» детектируют это вредоносное ПО с вердиктом:
- UDS:DangerousObject.Multi.Generic
- Trojan-Ransom.Win32.ExPetr.a
- HEUR:Trojan-Ransom.Win32.ExPetr.gen
Поведенческий анализатор Мониторинг системы (System Watcher) детектирует это вредоносное ПО с вердиктом:
- PDM:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора Мониторинг системы (System Watcher). Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных модификаций этого вымогателя.
Наши эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.
Более подробную информацию об атаке вы можете найти в отчете «Лаборатории Касперского».
Для снижения рисков заражения мы рекомендуем компаниям предпринять следующие меры:
- Установите официальный патч от Microsoft, который закрывает используемую в атаке уязвимость:
- Убедитесь, что все механизмы защиты активированы, подключение к облачной инфраструктуре Kaspersky Security Network и Мониторинг системы (System Watcher) включены.
- Обновите базы всех используемых продуктов «Лаборатории Касперского».
В качестве дополнительной меры мы рекомендуем использовать компонент Контроль активности программ, чтобы запретить всем группам приложений доступ (а соответственно и исполнение) утилиты PSexec пакета Sysinternals и следующих файлов:
- %windir%\dllhost.dat
- %windir%\psexesvc.exe
- %windir%\perfc.dat
- %appdata%\perfc.dat
- %appdata%\dllhost.dat
- *\psexec.exe
- *\psexec64.exe
Удаленная настройка через Kaspersky Security Center
- Откройте Kaspersky Security Center.
- Перейдите в Управляемые компьютеры → Политики.
- Откройте активную политику для Kaspersky Endpoint Security и перейдите в Контроль активности программ. Нажмите на кнопку Настройка.
- Выделите узел Персональные данные, нажмите на кнопку Добавить и выберите пункт Категорию.
- Введите имя категории ExPetr и нажмите ОК.
- Выделите созданную категорию, нажмите на кнопку Добавить и выберите пункт Файл или папку.
В появившемся диалоговом окне введите имя файла в поле Название, нажмите кнопку Обзор и в поле Объект введите путь к файлу.
- Добавьте следующие файлы:
- %windir%\dllhost.dat
- %windir%\psexesvc.exe
- %windir%\perfc.dat
- %appdata%\perfc.dat
- %appdata%\dllhost.dat
- *\psexec.exe
- *\psexec64.exe
- Настройте для категории ExPetr правила доступа для программ из всех групп, выставив запрет на Чтение, Запись, Удаление и Создание.
Для Доверенных программ необходимо разрешить Удаление
- Настройте для категории ExPetr запись всех событий в отчет.
- Перейдите в Оповещение о событиях → Информационное сообщение. Откройте свойства Сработало правило Контроля активности программ.
- Установите флажок На Сервере администрирования в течение (сут). Если необходимо, настройте отправку этих событий на электронную почту.
- Сохраните политику.
На сервере может регистрироваться много событий, которые удалят устаревшие по мере заполнения базы данных Kaspersky Security Center.
После этих настроек у вас будет возможность следить за запуском указанных файлов. Если на каком-либо компьютере будет запущен файл, в Kaspersky Security Center будет зарегистрировано событие:
Локальная настройка
- Откройте Kaspersky Endpoint Security 10 для Windows.
- На вкладке Настройка выберите Контроль активности программ и нажмите на кнопку Ресурсы.
- Выделите узел Персональные данные, нажмите на кнопку Добавить и выберите пункт Категорию.
- Введите имя категории ExPetr и нажмите ОК.
- Выделите созданную категорию, нажмите на кнопку Добавить и выберите пункт Файл или папку.
В появившемся диалоговом окне введите имя файла в поле Название, затем нажмите кнопку Обзор и в поле Объектвведите путь к файлу.
- Добавьте следующие файлы:
- %windir%\dllhost.dat
- %windir%\psexesvc.exe
- %windir%\perfc.dat
- %appdata%\perfc.dat
- %appdata%\dllhost.dat
- *\psexec.exe
- *\psexec64.exe
При локальной настройке необходимо, чтобы файлы присутствовали в системе. Создайте пустые файлы с этими именами, если их нет.
- Настройте для категории ExPetr правила доступа для программ из всех групп, выставив запрет на Чтение, Запись, Удаление и Создание.
Для Доверенных программ необходимо разрешить Удаление.
Если вы не используете продукты «Лаборатории Касперского», мы рекомендуем запретить исполнение указанных ранее файлов и утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.
