Octavian Palade
Analiștii Kaspersky Lab investighează un nou val de atacuri ransomware care vizează organizații din toată lumea. ”Rezultatele noastre preliminare sugerează că nu este vorba de Petya, așa cum s-a spus, ci de un ransomware care nu a mai fost întâlnit până acum. Chiar dacă sunt câteva asemănări cu Petya, are o funcționalitate complet diferită. Am denumit acest ransomware ExPetr”, spun experții. Alte companii de securitate l-au numit GoldenEye.
Potrivit unei declarații de presă, până în acest moment au fost atacate aproximativ 2.000 de ținte. ”Organizațiile din Rusia și Ucraina sunt cele mai afectate, dar am înregistrat atacuri și în Polonia, Italia, Marea Britanie, Germania, Franța, SUA, România și alte țări”, se arată în declarația oficială.
Atacul ExPetr folosește exploituri modificate precum EternalBlue și EternalRomance, exploituri folosite și de NSA și puse ”la liber” pe Internet, acum câteva luni, de către o grupare de hackeri. Cu ajutorul acestor portițe, virusul GoldenEye se propagă cu ușurință în rețelele corporate.
Soluția de securitate Kaspersky Lab detectează amenințarea ca UDS:DangerousObject.Multi.Generic, Trojan-Ransom.Win32.ExPetr.a sau HEUR:Trojan-Ransom.Win32.ExPetr.gen. Soluția de detecție comportamentală System Watcher vede ransomware-ul ca PDM:Trojan.Win32.Generic sau PDM:Exploit.Win32.Generic.
”Până în prezent, în majoritatea cazurilor, Kaspersky Lab a detectat vectorul inițial de infectare proactiv, prin intermediul System Watcher. Lucrăm, de asemenea, la îmbunătățirea detecției anti-ransomware pe baza comportamentului, pentru a detecta proactiv orice potențiale versiuni viitoare”, se mai arată în comunicat.
Experții Kaspersky Lab vor continua să studieze problema pentru a vedea dacă este posibilă decriptarea datelor blocate în atac-cu scopul de a dezvolta un instrument de decriptare cât mai curând. ”Le recomandăm tuturor companiilor să își actualizeze software-ul Windows: utilizatorii de Windows XP și Windows 7 se pot proteja instalând patch-ul de securitate MS17-010. De asemenea, recomandăm tuturor organizațiilor să se asigure că au făcut backup. Acesta poate fi folosit pentru a-și recupera datele pierdute”.
Clienții Kaspersky Lab sunt sfătuiți să verifice ca toate componentele de protecție să fie activate, conform recomandărilor, și că nu au dezactivat componentele KSN și System Watcher, care sunt activate printr-o setare default. Ca o măsură suplimentară, să utilizeze componenta Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-UȘ/129102.htm) din Kaspersky Endpoint Security, pentru a preveni punerea în executare a fișierului perfc.dat și a PSExec din pachetul Sysinternals Suite. Apoii, să configureze și să activeze modul Default Deny din componenta Application Startup Control a Kaspersky Endpoint Security, care face posibil mecanismul de apărare proactivă împotriva acestui atac și a altor atacuri.
Dacă nu aveți produse Kaspersky lab pe dispozitive, folosiți funcția AppLocker pentru a dezactiva punerea în executare a fișierelor cu numele“perfc.dat”si a PSExec din Sysinternals Suite și pentru a vă proteja de GoldenEye.
