Acasă IT News Declarația Kaspersky Lab pe tema atacurilor ransomware din 27 iunie

Declarația Kaspersky Lab pe tema atacurilor ransomware din 27 iunie

24

Analiștii Kaspersky Lab investighează un nou val de atacuri ransomware care vizează organizații din toată lumea. Rezultatele noastre preliminare sugerează că nu este vorba de Petya, așa cum s-a spus inițial, ci de un ransomware care nu a mai fost întâlnit până acum. Chiar dacă sunt câteva asemănări cu Petya, are o funcționalitate complet diferită. Kaspersky Lab a denumit acest ransomware ExPetr.

Declarația Kaspersky Lab pe tema atacurilor ransomware din 27 iunie

Datele telemetrice ale companiei indică aproximativ 2.000 de utilizatori atacați până acum. Organizațiile din Rusia și Ucraina sunt cele mai afectate, dar au fost înregistrate atacuri și în Polonia, Italia, Marea Britanie, Germania, Franța, SUA, România și alte țări.

Pare sa fie un atac complex, care implică mai mulți vectori. Se poate confirma că sunt folosite exploit-urile modificate EternalBlue și EternalRomance  pentru propagarea în interiorul rețelelor corporate.

Kaspersky Lab detectează această amenințare ca:

UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen.
 
Soluția Kaspersky de detecție comportamentală System Watcher recunoaște amenințarea ca:
 
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
 
Până în prezent, în majoritatea cazurilor, Kaspersky Lab a detectat vectorul ințial de infectare proactiv, prin intermediul System Watcher. Se lucrează, de asemenea, la îmbunătățirea detecției anti-ransomware pe baza comportamentului, pentru a detecta proactiv orice potențiale versiuni viitoare. 
 
Experții Kaspersky Lab vor continua să studieze problema pentru a vedea dacă este posibilă decriptarea datelor blocate în atac – cu scopul de a dezvolta un instrument de decriptare cât mai curând.
 
Kaspersky Lab recomandă tuturor companiilor să își actualizeze software-ul Windows: utilizatorii de Windows XP și Windows 7 se pot proteja instalând patch-ul de securitate MS17-010.
 
De asemenea, Kaspersky Lab recomandă tuturor organizațiilor să se asigure că au făcut backup. Acesta poate fi folosit pentru a-și recupera datele pierdute.
 
Clienții Kaspersky Lab sunt sfătuiți:
  • să verifice ca toate componentele de protecție să fie activate, conform recomandărilor, și că nu au dezactivat componentele KSN și System Watcher, care sunt activate printr-o setare default.
  • ca o măsură suplimentară, să utilizeze componenta Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm)
    din Kaspersky Endpoint Security, pentru a preveni punerea în executare a fișierului perfc.dat și a PSExec din pachetul Sysinternals Suite.
  • să configureze și să activeze modul Default Deny din componenta Application Startup Control a Kaspersky Endpoint Security, care face posibil mecanismul de apărare proactivă împotriva acestui atac și a altor atacuri.

Dacă nu aveți produse Kaspersky lab pe dispozitive, folosiți funcția AppLocker pentru a dezactiva punerea în executare a fișierelor cu numele“perfc.dat” și a PSExec din Sysinternals Suite.

Detalii sunt disponibile aici:  https://securelist.com/schroedingers-petya/78870/.

UPDATE virusul ExPetr

Analiza Kaspersky Lab indică faptul că sunt șanse mici ca victimele să-și recupereze datele. După studierea codului de criptare, experții Kaspersky Lab și-au dat seama că, dupa criptarea disk-ului, autorul nu a putut decripta disk-urile victimelor. Pentru a le decripta, autorii au nevoie de ID-ul de instalare. În versiuni anterioare de ransomware „similar”, ca Pethya/Mischa/GoldenEye, ID-ul de instalare conținea informația necesară pentru recuperare. 

ExPetr nu are acest element, ceea ce înseamnă că autorii nu au putut extrage informația necesară pentru decriptare.

Pe scurt, victimele nu au putut să-și recupereze datele.

Detalii tehnice pe aceasta temă vor fi disponibile în curând pe Securelist.