Kaspersky: Rusia și Ucraina, cele mai afectate țări în urma atacurilor cibernetice de ieri. A fost vizată și România

- Adrian Ungureanu
181

Analiştii Kaspersky Lab investighează un nou val de atacuri ransomware care vizează organizaţii din toată lumea. Rezultatele preliminare ale companiei sugerează că nu este vorba de Petya, aşa cum s-a spus, ci de un ransomware care nu a mai fost întâlnit până acum.

Chiar dacă sunt câteva asemănări cu Petya, are o funcţionalitate complet diferită și au denumit acest ransomware ExPetr. Cei de la Bitdefender l-au denumit GoldenEye.

Datele telemetrice ale companiei indică aproximativ 2.000 de utilizatori atacaţi până acum. Organizaţiile din Rusia şi Ucraina sunt cele mai afectate, dar am înregistrat atacuri şi în Polonia, Italia, Marea Britanie, Germania, Franţa, SUA, România şi alte ţări.

Pare să fie un atac complex, care implică mai mulţi vectori. Putem confirma că sunt folosite exploit-urile modificate EternalBlue şi EternalRomance pentru propagarea în interiorul reţelelor corporate.

Kaspersky Lab detectează această ameninţare ca:
UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen.

Soluţia noastră de detecţie comportamentală System Watcher recunoaşte ameninţarea că:
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

Până în prezent, în majoritatea cazurilor, Kaspersky Lab a detectat vectorul iniţial de infectare proactiv, prin intermediul System Watcher. Lucrăm, de asemenea, la îmbunătăţirea detectiei anti-ransomware pe baza comportamentului, pentru a detecta proactiv orice potenţiale versiuni viitoare”, au declarat reprezentanții companiei, într-un comunicat remis redacției.

Experţii Kaspersky Lab vor continuă să studieze problema pentru a vedea dacă este posibilă decriptarea datelor blocate în atac – cu scopul de a dezvoltă un instrument de decriptare cât mai curând.

Le recomandăm tuturor companiilor să îşi actualizeze software-ul Windows: utilizatorii de Windows XP şi Windows 7 se pot proteja instalând patch-ul de securitate MS17-010.

De asemenea, recomandăm tuturor organizaţiilor să se asigure că au făcut backup. Acesta poate fi folosit pentru a-şi recupera datele pierdute.

Kaspersky își sfăuiește clienții să:
– verifice că toate componentele de protecţie să fie activate, conform recomandărilor, şi că nu au dezactivat componentele KSN şi System Watcher, care sunt activate printr-o setare default.
– Ca o măsură suplimentară, să utilizeze componentă Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm)
din Kaspersky Endpoint Security, pentru a preveni punerea în executare a fişierului perfc.dat şi a PSExec din pachetul Sysinternals Suite.
– să configureze şi să activeze modul Default Deny din componentă Application Startup Control a Kaspersky Endpoint Security, care face posibil mecanismul de apărare proactivă împotriva acestui atac şi a altor atacuri.

Dacă nu aveţi produse Kaspersky lab pe dispozitive, folosiţi funcţia AppLocker pentru a dezactiva punerea în executare a fişierelor cu numele”perfc.dat”şi a PSExec din Sysinternals Suite.