Connect with us

technokrata

A “Petya” után egyre csak melegszik a helyzet, itt az “ExPetr” zsarolóvírus

maxresdefault-1

Adatvédelem

A “Petya” után egyre csak melegszik a helyzet, itt az “ExPetr” zsarolóvírus

A “Petya” után egyre csak melegszik a helyzet, itt az “ExPetr” zsarolóvírus

A Kaspersky Lab elemzői vizsgálják az újabb zsarolóvírus hullámot, amely világszerte megtámadott több szervezetet június 27-én.

Előzetes megállapításaik arra utalnak, hogy ez nem egy Petya-féle zsarolóvírus variáns, miként ezt a napokban több hírforrás is közzétette, hanem egy új, korábban még nem ismert zsarolóvírus.

Habár a Petya vírushoz nagyon hasonló, de teljesen más funkcionalitással rendelkezik, ezért a cég szakemberei „ExPetr”-nek nevezték el. A cég telemetriai adatai eddig mintegy 2000 megtámadott felhasználót detektáltak. A leginkább érintettek az orosz és az ukrán szervezetek, de Lengyelországban, Olaszországban, az Egyesült Királyságban, Németországban, Franciaországban, az Egyesült Államokban és számos más országban is észleltek még áldozatokat. 

noname34

Ez egy összetett támadásnak tűnik, amely több támadási vektort is magában foglal. A kibertanácsadó cég szakemberei megerősítik, hogy a bűnözők módosított EternalBlue és EternalRomance exploitokat használtak egy  vállalati hálózaton belüli terjedéshez.

 

A Kaspersky Lab az alábbi neveken észlelte a vírust:

  • UDS: DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR: Trojan-Ransom.Win32.ExPetr.gen

A Kaspersky Lab viselkedés-érzékelő rendszere, a SystemWatcher az alábbi neveken észleli a fenyegetést:

  • PDM: Trojan.Win32.Generic
  • PDM: Exploit.Win32.Generic

noname

A legtöbb esetben mindeddig a Kaspersky Lab proaktív módon észlelte a kezdeti fertőzésvektort a biztonsági technológiája, a System Watcher segítségével, amely figyelemmel kíséri az összes fontos rendszereseményt, többek között az operációs rendszer fájljainak és konfigurációinak létrehozását és módosítását, valamint a hálózaton keresztüli programvégrehajtást és adatcserét. Az eseményeket naplózza és elemzi, s ha egy program rosszindulatú tevékenységet végez, blokkolja azt, megakadályozva ezzel a további fertőzést. A cég folyamatosan dolgozik a viselkedés-alapú zsarolóvírus-észlelés javításán azért, hogy proaktívan detektálhassa az esetlegesen felbukkanó új és/vagy még ismeretlen verziókat.

A Kaspersky Lab szakértői még vizsgálják a vírust, hogy megállapíthassák, lehetséges-e a támadásban titkosított adatok visszafejtése azzal a céllal, hogy a titkosítást feloldó programot a lehető leghamarabb kiadhassák.

A cég javasolja, hogy minden vállalat frissítse a Windows szoftvert: a Windows XP és a Windows 7 operációs rendszert használók az MS17-010 biztonsági javítás telepítésével védhetik meg rendszereiket. Azt is tanácsolják, hogy minden szervezet készítsen biztonsági mentést fontos adatairól, mivel ezek a mentések az eredeti fájlok elvesztése után könnyedén visszaállíthatók.

 

A Kaspersky Lab vállalati ügyfelei számára az alábbiakat javasolja:

  • Ellenőrizze, hogy az összes védelmi program megfelelően működik, valamint a KSN és a System Watcher komponensek (amelyek az alapbeállítások szerint aktívak) nem inaktívak. Amennyiben inaktívak, kapcsolja be őket.
  • Használja az Application Privilege Control-t azért, hogy blokkolja az összes olyan alkalmazás hozzáférését (interakcióját és parancsait), amelyek neve a “perfc.dat” és a „PSexec” (Segítséget és bővebb információt itt és itt talál).
  • Alternatív megoldásként használja az Application Startup Control-t, amely a Kaspersky Endpoint Security program komponense és blokkolja a Psexec segédprogram parancsait. Fontos megjegyezni, hogy a “perfc.dat” blokkolása érdekében használja az Application Privilege Control-t.
  • Állítsa be és engedélyezze a Kaspersky Endpoint Security szoftver Application Startup Control összetevőjének alapértelmezett blokkoló módját. Ezzel biztosítja a proaktív védelmet az „ExPetr” és más kártékony programok ellen.

Ha nem rendelkezik Kaspersky Lab termékkel, használja a Windows operációs rendszer AppLocker funkcióját, amely letiltja a “perfc.dat” és a PSExec segédprogramot, amelyek a Sysinternals Suite csomag részei.

Bővebb információt az „ExPetr” zsarolóvírusról és annak hatékony blokkolásáról a Kaspersky Lab és a Comae Technologies közös online előadásán hallhat, amelyet Juan Andres Guerrero-Saade, a Kaspersky Lab vezető biztonsági kutatója valamint Matt Suiche, a Comae Technologies szakértője június 29-én 15:00 órától tart.

A webinar elérhető ezen a linken regisztráció és résztvevő limit nélkül.

További Adatvédelem

Technokrata a Face-en

Tesztek

2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd
the_english_surgeon_534448a

Alkalmazások, szoftverek

Idegesek leszünk, ha nem tölt fel elég gyorsan a selfie?

2017. február 27. hétfő