Semalt Expert - Como combater o Petya, NotPetya, GoldenEye e Petrwrp?

O Forcepoint Security Labs o chamou de surto de Petya, mas outros fornecedores estão usando palavras alternativas e nomes adicionais para ele. A boa notícia é que essa amostra cancelou o teste de pato e agora os arquivos podem ser criptografados em discos sem alterar suas extensões. Você também pode tentar criptografar o Master Boot Record e verificar seus efeitos posteriores nos dispositivos do computador.

Pagando a demanda de resgate de Petya

Igor Gamanenko, gerente de sucesso do cliente da Semalt , sugere que você não pague o resgate a qualquer custo.

É melhor desativar o seu ID de email em vez de pagar resgate ao hacker ou atacante. Seus mecanismos de pagamento são geralmente frágeis e não legítimos. Se você pagar o resgate através de uma carteira BitCoin, o invasor poderá roubar muito mais dinheiro da sua conta sem que você saiba.

Atualmente, tornou-se muito difícil obter arquivos não criptografados, independentemente do fato de as ferramentas de descriptografia estarem disponíveis nos próximos meses. Declaração de vetor e proteção de infecção A Microsoft alega que o fornecedor inicial de infecção possui vários códigos maliciosos e atualizações de software não legítimas. Em tais circunstâncias, esse fornecedor pode não ser capaz de detectar o problema de uma maneira melhor.

A iteração atual do Petya visa evitar vetores de comunicação que foram salvos pelos gateways de segurança de email e segurança da web. Muitas amostras foram analisadas usando credenciais diferentes para descobrir a solução do problema.

A combinação de comandos WMIC e PSEXEC é muito melhor que a exploração do SMBv1. No momento, não está claro se uma organização que confia em redes de terceiros entenderá as regras e regulamentos de outras organizações ou não.

Assim, podemos dizer que Petya não traz surpresas para os pesquisadores do Forcepoint Security Labs. Em junho de 2017, o Forcepoint NGFW pode detectar e bloquear as alavancas de exploração de pequenas e médias empresas dos invasores e hackers.

Deja vu: Petya Ransomware e capacidade de propagação de SMB

O surto de Petya foi registrado na quarta semana de junho de 2017. Ele teve um grande impacto em várias empresas internacionais, com sites de notícias alegando que os efeitos são duradouros. O Forcepoint Security Labs analisou e analisou diferentes amostras associadas aos surtos. Parece que os relatórios do Forcepoint Security Labs não estão totalmente preparados e a empresa exige um tempo adicional antes de chegar a algumas conclusões. Portanto, haverá um atraso significativo entre o procedimento de criptografia e a execução do malware.

Dado que o vírus e o malware reinicializam as máquinas, pode levar alguns dias para que os resultados finais sejam revelados.

Conclusão e recomendações

A conclusão e avaliação de uma implicação de longo alcance dos surtos são difíceis de extrair nesta fase. No entanto, parece que é a tentativa final de implantar peças de propagação automática de ransomware. A partir de agora, o Forcepoint Security Labs pretende continuar sua pesquisa sobre as possíveis ameaças. A empresa poderá em breve apresentar seus resultados finais, mas isso requer uma quantidade significativa de tempo. O uso das explorações do SMBvi será revelado assim que o Forcepoint Security Labs apresentar os resultados. Você deve se certificar de que as atualizações de segurança estejam instaladas nos sistemas do seu computador. De acordo com as políticas da Microsoft, os clientes devem desativar o SMBv1 em todos os sistemas Windows em que isso afeta negativamente as funções e o desempenho do sistema.