«Лаборатория Касперского» назвала новый шифровальщик ExPetr.

29.06.2017

Чуть больше месяца назад случилась атака шифровальщика WannaCry, а сегодня «Лаборатория Касперского» информирует о масштабной атаке программы-вымогателя, начавшейся 27 июня.

Эксперты «Лаборатории Касперского» продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher). «Лаборатория Касперского» работает над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя.

Эксперты «Лаборатории Касперского» также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

Настоятельно рекомендуем всем корпоративным пользователям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.

Также рекомендуем всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы даже если они были зашифрованы вредоносным ПО.

Корпоративным клиентам «Лаборатории Касперского» рекомендуем предпринять следующие действия

  • Убедиться, что все механизмы защиты активированы, в частности удостовериться, что подключение к облачной инфраструктуре Kaspersky Security Network и «Мониторинг системы» (System Watcher), активированные по умолчанию, не отключены.
  • В качестве дополнительной меры рекомендуем использовать компонент «Контроль активности программ», чтобы запретить всем группам приложений доступ (а соответственно и исполнение) файла с названием «perfc.dat» и утилиты PSexec пакета Sysinternals.
  • В качестве альтернативной меры для запрета исполнения утилиты PSexec пакета Sysinternals рекомендуем использовать компонент «Контроль запуска программ» продукта Kaspersky Endpoint Security, а для запрета исполнения файла perfc.dat – компонент «Контроль активности программ».
  • Сконфигурировать и настроить режим Default Deny с помощью компонента «Контроль запуска программ» в составе решения Kaspersky Endpoint Security, это позволяет обеспечить высокую степень проактивной защиты от данной и подобных атак.

Если вы не используете продукты «Лаборатории Касперского», рекомендуем запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.

Источник: «Лаборатория Касперского»


Если у Вас возникли вопросы по информационной безопасности, свяжитесь с нами по телефону +7(812)325-8400, по электронной почте или на сайте компании

Так же Вы можете познакомиться с решениями «Лаборатории Касперского»

Kaspersky DDoS Prevention (KDP) — защита от DDoS-атак

Kaspersky Anti Targeted Attack Platform (KATA) — защита от целевых атак

Kaspersky Industrial CyberSecurity (KICS) — защита промышленных сред от киберугроз


Возврат к списку

Подписаться на новости


Закажите семинар по ИТ-аутсорсингу


Аутсорсинг

Обеспечим безотказную работу вашей ИТ-инфраструктуры

Консультация и заказ

                

Решение для банков

Фильтрация web-трафика и потока электронной почты, защита от утечек информации и поведенческий анализ в едином решении для банков от 500 ПК.

Комплексное решение реализовано на базе продуктов и технологий компании Forcepoint, ранее известной как Websense, и решает следующие задачи:

  • защита от атак и вредоносного кода по сетевым каналам
  • защита периметра сети компании
  • безопасное использование веб ресурсов, защита от фишинга
  • защита от спама
  • защита от утечек данных, инсайдеров
  • оптимизация рабочего времени сотрудников
  • единая панель управления

Комплексный подход – это:

  • решение разных задач по информационной безопасности продуктами одного производителя,
  • оптимизация затрат на безопасность,
  • учет и контроль приобретаемых лицензий на продукты.

Пример внедрения комплексной системы фильтрации корпоративного трафика