I laboratori di sicurezza Forcepoint hanno riferito di essere uno scoppio di Petya, ma altri fornitori stanno usando parole alternative e nomi aggiuntivi per esso. La buona notizia è che questo esempio ha eliminato il test dell'anatra e ora i file possono essere crittografati sui dischi senza modificarne le estensioni. È inoltre possibile provare a crittografare il Master Boot Record e controllarne gli effetti successivi sui dispositivi del computer.
Pagando la domanda di riscatto di Petya
Igor Gamanenko, responsabile del successo dei clienti di Semalt, ti suggerisce di non pagare il riscatto a tutti i costi.
È meglio disattivare l'ID di posta elettronica piuttosto che pagare il riscatto all'hacker o all'hacker. I loro meccanismi di pagamento sono di solito fragili e non legittimi. Se dovrai pagare il riscatto attraverso un portafoglio BitCoin, l'attaccante potrebbe rubare molto più denaro dal tuo account senza farti sapere.
In questi giorni è diventato molto difficile ottenere file non crittografati, indipendentemente dal fatto che gli strumenti di decrittografia sarebbero disponibili nei prossimi mesi. Dichiarazione di Vector & Protection di infezione Microsoft afferma che il fornitore iniziale di infezione ha diversi codici dannosi e aggiornamenti software non legittimi. In tali circostanze, il venditore potrebbe non essere in grado di rilevare in modo migliore il problema.
L'iterazione corrente di Petya mira a evitare i vettori di comunicazione che sono stati salvati dai gateway di sicurezza e di sicurezza di posta elettronica. Molti campioni sono stati analizzati utilizzando credenziali diverse per scoprire la soluzione del problema.
La combinazione dei comandi WMIC e PSEXEC è molto meglio di quanto lo SMBv1 exploit. Finora non è chiaro se un'organizzazione che si fida di reti di terze parti capirà le regole e le regole di altre organizzazioni o meno.
Quindi, possiamo dire che Petya non porta sorprese per i ricercatori di Forcepoint Security Labs. A partire dal giugno 2017, Forcepoint NGFW può rilevare e bloccare i sfrutti SMB dagli attaccanti e dagli hacker.
Deja vu: Petya Ransomware e abilità di propagazione SMB
L'epidemia di Petya è stata registrata nella quarta settimana di giugno 2017. Ha avuto un grande impatto su varie aziende internazionali, con siti web che affermano che gli effetti sono di lunga durata. Forcepoint Security Labs ha analizzato e analizzato diversi campioni associati agli epidemie. Sembra che le relazioni di Forcepoint Security Labs non siano completamente preparate e la società richiede tempo supplementare prima che possa giungere ad alcune conclusioni. Così, ci sarà un ritardo significativo tra la procedura di crittografia e l'esecuzione del malware.
Dato che il virus e il malware riavviano le macchine, potrebbe richiedere diversi giorni prima che i risultati finali siano rivelati.
Conclusioni e raccomandazioni
La conclusione e la valutazione di una profonda implicazione degli epidemie sono difficili da disegnare in questa fase. Tuttavia, sembra che sia il tentativo finale di distribuire pezzi di ransomware auto-propaganti. Finora, Forcepoint Security Labs mira a continuare la sua ricerca sulle possibili minacce. L'azienda potrebbe presto trovare i risultati finali, ma richiede una notevole quantità di tempo. L'utilizzo di exploit SMBvi verrà rivelato una volta che i laboratori di sicurezza di Forcepoint presentano i risultati. È necessario assicurarsi che gli aggiornamenti di protezione siano installati nei sistemi di computer. Come per le politiche di Microsoft, i client devono disabilitare SMBv1 in ogni sistema Windows in cui influisce negativamente sulle funzioni e le prestazioni del sistema.
No comments:
Post a Comment