加入RUN!PC粉絲團
 
業界動態 - 資訊安全(本資訊由廠商提供,不代表RUN!PC立場)
分享到Plurk
分享到FaceBook
 
卡巴斯基實驗室發現“ExPetr”勒索軟體:並非Petya變種
 2017/6/29 下午 01:56:37

卡巴斯基實驗室的分析人員對一波最新的席捲全球的勒索軟體攻擊進行調查。初步研究顯示,這種最新的威脅並不是之前報導中所稱的是一種Petya勒索軟體的變種,而是一種之前從未見過的全新勒索軟體。儘管這種勒索軟體同Petya在字串上有所相似,但功能卻完全不同。卡巴斯基將這種最新威脅命名為ExPetr。

卡巴斯基實驗室的遙測資料顯示,截止到目前,全球有約2,000名使用者遭到這種勒索軟體的攻擊。其中,俄羅斯和烏克蘭的企業和組織遭受影響最為嚴重。此外,還在波蘭、義大利、英國、德國、法國、美國以及其他多個國家記錄到相關攻擊。

這似乎是一種複雜攻擊,因為其採用了多種感染和攻擊途徑。可以確認的是,網路罪犯在攻擊中使用了修改版的EternalBlue和EternalRomance漏洞利用程式,用於在企業網路內進行傳播。
卡巴斯基實驗室將這種威脅檢測為:
• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.ExPetr.a
• HEUR:Trojan-Ransom.Win32.ExPetr.gen

卡巴斯基的行為檢測引擎——系統監控元件將這種威脅檢測為:
• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

截止到目前,大多數情況下,卡巴斯基實驗室的行為檢測引擎——系統監控元件可以主動檢測到這種威脅的初始感染途徑,還在改進基於行為的反勒索軟體檢測功能,以便能夠主動檢測未來可能出現的各種版本。

卡巴斯基實驗室的安全專家仍然繼續分析這一威脅,判斷是否可以解密攻擊後被鎖定的資料。目標是儘快開發出一個解密工具。建議所有企業更新自己的Windows作業系統:Windows XP和Windows 7用戶可以通過安裝MS17-010安全更新來確保自身安全。還建議所有的企業和組織進行資料備份。正確和及時的資料備份能夠讓您在遭遇資料丟失事故後,恢復原始檔。

卡巴斯基實驗室建議企業客戶採取以下措施:
• 檢測所有推薦開啟的保護機制是否已經開啟;確保卡巴斯基安全網路(KSN)和系統監控元件(預設開啟)沒有被關閉。
• 作為一項輔助安全措施,請使用卡巴斯基網路安全解決方案中的應用啟動控制元件(https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm)來阻止檔案名為perfc.dat 的檔執行,同時攔截PSExec工具(Sysinternals Suite系統工具的一部分)的啟動。
• 在卡巴斯基網路安全解決方案中的應用啟動控制元件中,配置和啟用預設拒絕模式,確保主動防禦功能能夠攔截這次攻擊以及其他攻擊。

如果您的設備上沒有安裝卡巴斯基實驗室產品,建議您使用Windows作業系統自帶的AppLocker(應用鎖定)功能,攔截任何檔案名包含“perfc.dat”的檔執行,同時還要攔截Sysinternals Suite中的PSExec工具啟用。

公司名稱:卡巴斯基
網址:http://www.kaspersky.com.cn/all_download
   
更多業界動態
.【電信】 中華電信發布5G白皮書並攜手產業展示5G企業應用 廣結盟迎接5G元年
.【硬體】 技嘉為NVIDIA A100 PCIe GPU推出眾多G系列伺服器產品組合
.【趨勢】 臺灣金融科技協會就「金融科技發展座談會」之建言
.【網路】 思科提供先進網路見解 實現更具智慧自動化系統
.【資訊安全】 思科為現今迅速發展的資訊科技環境 徹底簡化網路資安
.【解決方案】 EVERY8D獨家「互動回覆雙向簡訊」,助攻各產業振興拼經濟
.【硬體】 宏正捐贈多功能直播機協助汐止秀峰高中直播畢業典禮 家長透過直播觀禮彷彿親臨
.【資訊安全】 遠距辦公盛行及大量過時設備 致使企業面臨網際安全風險
.【軟體】 訊連科技「U」服務持續進化 協助企業於後防疫時代積極布局數位轉型
.【趨勢】 大世科20周年 線上騎跑走公益活動創紀錄熱絡達標