Petya, az istenért, mit tettél velünk!

Petya, az istenért, mit tettél velünk!
A Kaspersky Lab elemzői vizsgálják az újabb zsarolóvírus hullámot, amely világszerte megtámadott több szervezetet június 27-én.

 

Előzetes megállapításaik arra utalnak, hogy ez nem egy Petya-féle zsarolóvírus variáns, miként ezt a napokban több hírforrás is közzétette, hanem egy új, korábban még nem ismert zsarolóvírus. Habár a Petya vírushoz nagyon hasonló, de teljesen más funkcionalitással rendelkezik, ezért a cég szakemberei „ExPetr”-nek nevezték el. A cég telemetriai adatai* eddig mintegy 2000 megtámadott felhasználót detektáltak. A leginkább érintettek az orosz és az ukrán szervezetek, de Lengyelországban, Olaszországban, az Egyesült Királyságban, Németországban, Franciaországban, az Egyesült Államokban és számos más országban is észleltek még áldozatokat.

Ez egy összetett támadásnak tűnik, amely több támadási vektort is magában foglal. A kibertanácsadó cég szakemberei megerősítik, hogy a bűnözők módosított EternalBlue és EternalRomance exploitokat használtak egy  vállalati hálózaton belüli terjedéshez.

* A telemetria nagy távolságú adattovábbítást, távoli méréseket és vezérlést tesz lehetővé.

A Kaspersky Lab az alábbi neveken észlelte a vírust:
UDS: DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR: Trojan-Ransom.Win32.ExPetr.gen

A Kaspersky Lab viselkedés-érzékelő rendszere, a SystemWatcher az alábbi neveken észleli a fenyegetést:
PDM: Trojan.Win32.Generic
PDM: Exploit.Win32.Generic
A legtöbb esetben mindeddig a Kaspersky Lab proaktív módon észlelte a kezdeti fertőzésvektort a biztonsági technológiája, a System Watcher segítségével, amely figyelemmel kíséri az összes fontos rendszereseményt, többek között az operációs rendszer fájljainak és konfigurációinak létrehozását és módosítását, valamint a hálózaton keresztüli programvégrehajtást és adatcserét. Az eseményeket naplózza és elemzi, s ha egy program rosszindulatú tevékenységet végez, blokkolja azt, megakadályozva ezzel a további fertőzést. A cég folyamatosan dolgozik a viselkedés-alapú zsarolóvírus-észlelés javításán azért, hogy proaktívan detektálhassa az esetlegesen felbukkanó új és/vagy még ismeretlen verziókat.

A Kaspersky Lab szakértői még vizsgálják a vírust, hogy megállapíthassák, lehetséges-e a támadásban titkosított adatok visszafejtése azzal a céllal, hogy a titkosítást feloldó programot a lehető leghamarabb kiadhassák.

A cég javasolja, hogy minden vállalat frissítse a Windows szoftvert: a Windows XP és a Windows 7 operációs rendszert használók az MS17-010 biztonsági javítás telepítésével védhetik meg rendszereiket. Azt is tanácsolják, hogy minden szervezet készítsen biztonsági mentést fontos adatairól, mivel ezek a mentések az eredeti fájlok elvesztése után könnyedén visszaállíthatók.
A Kaspersky Lab vállalati ügyfelei számára az alábbiakat javasolja:
Ellenőrizze, hogy az összes védelmi program megfelelően működik, valamint a KSN és a System Watcher komponensek (amelyek az alapbeállítások szerint aktívak) nem inaktívak. Amennyiben inaktívak, kapcsolja be őket.

Használja az Application Privilege Control-t azért, hogy blokkolja az összes olyan alkalmazás hozzáférését (interakcióját és parancsait), amelyek neve a "perfc.dat" és a „PSexec” (Segítséget és bővebb információt itt és itt talál).

Alternatív megoldásként használja az Application Startup Control-t, amely a Kaspersky Endpoint Security program komponense és blokkolja a Psexec segédprogram parancsait. Fontos megjegyezni, hogy a "perfc.dat" blokkolása érdekében használja az Application Privilege Control-t.

Állítsa be és engedélyezze a Kaspersky Endpoint Security szoftver Application Startup Control összetevőjének alapértelmezett blokkoló módját. Ezzel biztosítja a proaktív védelmet az „ExPetr” és más kártékony programok ellen.
Ha nem rendelkezik Kaspersky Lab termékkel, használja a Windows operációs rendszer AppLocker funkcióját, amely letiltja a "perfc.dat" és a PSExec segédprogramot, amelyek a Sysinternals Suite csomag részei.

 

Kövesd az oldalunkat a Facebook-on és a Twitteren is!