Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονομάσαμε «ExPetr»
Οι αναλυτές της Kaspersky Lab ερευνούν το νέο κύμα επιθέσεων ransomware οι οποίες έχουν ως στόχο εταιρείες σε όλο τον κόσμο.
Από τα αρχικά συμπεράσματα προκύπτει πως δεν είναι μία παραλλαγή του ransomware «Petya», όπως αναφέρθηκε δημόσια, αλλά ένας καινούριος τύπος ransomware που δεν έχει εμφανιστεί ποτέ ξανά.
Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονομάσαμε «ExPetr».
Τα δεδομένα τηλεμετρίας της εταιρείας δείχνουν πως μέχρι τώρα έχουν πραγματοποιηθεί γύρω στις 2000 επιθέσεις.
Οι οργανισμοί στη Ρωσία και στην Ουκρανία είναι αυτοί που έχουν επηρεαστεί περισσότερο, ενώ έχουν σημειωθεί αρκετές επιθέσεις στην Πολωνία, την Ιταλία, το Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία, τις Ηνωμένες Πολιτείες και σε πολλές άλλες χώρες.
Αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη αφού περιλαμβάνει διάφορους φορείς έκθεσης σε κίνδυνο.
Μπορούμε να επιβεβαιώσουμε πως χρησιμοποιούνται τροποποιημένα τα exploits “EternalBlue” και “EternalRomance” από τους εγκληματίες για τη διάδοση δεδομένων μέσα από εταιρικά δίκτυα.
Η Kaspersky Lab ανιχνεύει τις απειλές ως:
· UDS:DangerousObject.Multi.Generic
· Trojan-Ransom.Win32.ExPetr.a
· HEUR:Trojan-Ransom.Win32.ExPetr.gen
Η μηχανή ανίχνευσης ύποπτης συμπεριφοράς SystemWatcher που διαθέτουμε ανιχνεύει τις απειλές ως:
· PDM:Trojan.Win32.Generic
· PDM:Exploit.Win32.Generic
Στις περισσότερες περιπτώσεις μέχρι τώρα, η Kaspersky Lab προληπτικά ανίχνευε τον αρχικό φορέα μόλυνσης μέσα από τη μηχανή ανίχνευσης ύποπτης συμπεριφοράς System Watcher.
«Προσπαθούμε επίσης να βελτιώσουμε την ανίχνευση ύποπτης συμπεριφοράς των anti-ransomware ούτως ώστε να μπορούμε προληπτικά να εντοπίζουμε μελλοντικές εκδοχές.
Οι ειδικοί της Kaspersky Lab θα συνεχίσουν να εξετάζουν το θέμα για να προσδιορίσουν εάν είναι πιθανό να αποκρυπτογραφούν δεδομένα που κρυπτογραφήθηκαν έπειτα από μία επίθεση – με την πρόθεση να αναπτύξουν ένα εργαλείο αποκρυπτογράφησης το συντομότερο δυνατόν.
Συμβουλεύουμε όλες τις εταιρείες να ενημερώσουν το λογισμικό των Windows: οι χρήστες Windows XP και Windows 7, μπορούν να προστατευτούν μόνο στην περίπτωση που κατεβάσουν το patch ασφαλείας MS17-010.
Επίσης, συμβουλεύουμε όλους τους οργανισμούς να επιβεβαιώσουν ότι έχουν αντίγραφα, επικαιροποιημένα και σωστά.
Σκοπός είναι ανά πάσα στιγμή να μπορούν να χρησιμοποιηθούν για την επαναφορά των πρωτότυπων αρχείων μετά από την απώλεια των δεδομένων».
Η Kaspersky Lab συμβουλεύει επίσης τους εταιρικούς πελάτες της τα εξής:
· Να ελέγχετε ότι όλοι οι μηχανισμοί προστασίας είναι ενεργοί αλλά και πως τα στοιχεία KSN και System Watcher (που είναι ενεργά από την αρχή) δεν είναι απενεργοποιημένα.
· Ένα πρόσθετο μέτρο για εταιρικούς πελάτες είναι η χρήση της εφαρμογής Privilege Control για να αρνούνται οποιαδήποτε πρόσβαση (και συνεπώς δυνατότητα αλληλεπίδρασης ή εκτέλεσης) για όλες τις ομάδες εφαρμογών στο αρχείο με το όνομα "perfc.dat" και το βοηθητικό πρόγραμμα PSexec (τμήμα της Sysinternals Suite) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm και http://support.kaspersky.com/10905#block1)
· Μπορείτε εναλλακτικά να χρησιμοποιείτε την εφαρμογή Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) του Kaspersky Endpoint Security, για να αποκλείσετε την εκτέλεση του βοηθητικού προγράμματος PSExec (μέρος της εφαρμογής Sysinternals Suite), αλλά παρακαλούμε να χρησιμοποιήσετε το Application Privilege Control για να αποκλείσετε το "perfc.dat".
· Να διαμορφώσετε και να ενεργοποιήσετε τη λειτουργεία Default Deny της εφαρμογής Startup Control, μέρος του Kaspersky Endpoint Security, για να ενδυναμώσετε την προληπτική άμυνα ενάντια αυτής και άλλων επιθέσεων.
Εάν δεν έχετε τα προϊόντα της Kaspersky Lab στην συσκευή σας – χρησιμοποιήστε την εφαρμογή AppLocker των Windows OS για να απενεργοποιήσετε την εκτέλεση από οποιοδήποτε φάκελο που έχει το όνομα «perfc.dat» όπως και το PSExec utility από τη Sysinternals Suite.
www.bankingnews.gr
Από τα αρχικά συμπεράσματα προκύπτει πως δεν είναι μία παραλλαγή του ransomware «Petya», όπως αναφέρθηκε δημόσια, αλλά ένας καινούριος τύπος ransomware που δεν έχει εμφανιστεί ποτέ ξανά.
Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονομάσαμε «ExPetr».
Τα δεδομένα τηλεμετρίας της εταιρείας δείχνουν πως μέχρι τώρα έχουν πραγματοποιηθεί γύρω στις 2000 επιθέσεις.
Οι οργανισμοί στη Ρωσία και στην Ουκρανία είναι αυτοί που έχουν επηρεαστεί περισσότερο, ενώ έχουν σημειωθεί αρκετές επιθέσεις στην Πολωνία, την Ιταλία, το Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία, τις Ηνωμένες Πολιτείες και σε πολλές άλλες χώρες.
Αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη αφού περιλαμβάνει διάφορους φορείς έκθεσης σε κίνδυνο.
Μπορούμε να επιβεβαιώσουμε πως χρησιμοποιούνται τροποποιημένα τα exploits “EternalBlue” και “EternalRomance” από τους εγκληματίες για τη διάδοση δεδομένων μέσα από εταιρικά δίκτυα.
Η Kaspersky Lab ανιχνεύει τις απειλές ως:
· UDS:DangerousObject.Multi.Generic
· Trojan-Ransom.Win32.ExPetr.a
· HEUR:Trojan-Ransom.Win32.ExPetr.gen
Η μηχανή ανίχνευσης ύποπτης συμπεριφοράς SystemWatcher που διαθέτουμε ανιχνεύει τις απειλές ως:
· PDM:Trojan.Win32.Generic
· PDM:Exploit.Win32.Generic
Στις περισσότερες περιπτώσεις μέχρι τώρα, η Kaspersky Lab προληπτικά ανίχνευε τον αρχικό φορέα μόλυνσης μέσα από τη μηχανή ανίχνευσης ύποπτης συμπεριφοράς System Watcher.
«Προσπαθούμε επίσης να βελτιώσουμε την ανίχνευση ύποπτης συμπεριφοράς των anti-ransomware ούτως ώστε να μπορούμε προληπτικά να εντοπίζουμε μελλοντικές εκδοχές.
Οι ειδικοί της Kaspersky Lab θα συνεχίσουν να εξετάζουν το θέμα για να προσδιορίσουν εάν είναι πιθανό να αποκρυπτογραφούν δεδομένα που κρυπτογραφήθηκαν έπειτα από μία επίθεση – με την πρόθεση να αναπτύξουν ένα εργαλείο αποκρυπτογράφησης το συντομότερο δυνατόν.
Συμβουλεύουμε όλες τις εταιρείες να ενημερώσουν το λογισμικό των Windows: οι χρήστες Windows XP και Windows 7, μπορούν να προστατευτούν μόνο στην περίπτωση που κατεβάσουν το patch ασφαλείας MS17-010.
Επίσης, συμβουλεύουμε όλους τους οργανισμούς να επιβεβαιώσουν ότι έχουν αντίγραφα, επικαιροποιημένα και σωστά.
Σκοπός είναι ανά πάσα στιγμή να μπορούν να χρησιμοποιηθούν για την επαναφορά των πρωτότυπων αρχείων μετά από την απώλεια των δεδομένων».
Η Kaspersky Lab συμβουλεύει επίσης τους εταιρικούς πελάτες της τα εξής:
· Να ελέγχετε ότι όλοι οι μηχανισμοί προστασίας είναι ενεργοί αλλά και πως τα στοιχεία KSN και System Watcher (που είναι ενεργά από την αρχή) δεν είναι απενεργοποιημένα.
· Ένα πρόσθετο μέτρο για εταιρικούς πελάτες είναι η χρήση της εφαρμογής Privilege Control για να αρνούνται οποιαδήποτε πρόσβαση (και συνεπώς δυνατότητα αλληλεπίδρασης ή εκτέλεσης) για όλες τις ομάδες εφαρμογών στο αρχείο με το όνομα "perfc.dat" και το βοηθητικό πρόγραμμα PSexec (τμήμα της Sysinternals Suite) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm και http://support.kaspersky.com/10905#block1)
· Μπορείτε εναλλακτικά να χρησιμοποιείτε την εφαρμογή Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) του Kaspersky Endpoint Security, για να αποκλείσετε την εκτέλεση του βοηθητικού προγράμματος PSExec (μέρος της εφαρμογής Sysinternals Suite), αλλά παρακαλούμε να χρησιμοποιήσετε το Application Privilege Control για να αποκλείσετε το "perfc.dat".
· Να διαμορφώσετε και να ενεργοποιήσετε τη λειτουργεία Default Deny της εφαρμογής Startup Control, μέρος του Kaspersky Endpoint Security, για να ενδυναμώσετε την προληπτική άμυνα ενάντια αυτής και άλλων επιθέσεων.
Εάν δεν έχετε τα προϊόντα της Kaspersky Lab στην συσκευή σας – χρησιμοποιήστε την εφαρμογή AppLocker των Windows OS για να απενεργοποιήσετε την εκτέλεση από οποιοδήποτε φάκελο που έχει το όνομα «perfc.dat» όπως και το PSExec utility από τη Sysinternals Suite.
www.bankingnews.gr
Σχόλια αναγνωστών