Proteja-se da nova onda de ransomware com as orientações da Kaspersky

28 Jun

Ainda não está claro o que é exatamente o novo ransomware. Alguns pensaram ser alguma variação de Petya (seja Petya.A, Petya.D, ou PetrWrap), ou que poderia ser o próprio WannaCry (não é).

Especialistas da Kaspersky Lab estão investigando essa nova ameaça, e, assim que encontrarem fatos sólidos, atualizaremos essa publicação. O que é fato é que o novo surto parece ser um ataque complexo que envolve vários vetores de ataque. E que um exploit modificado chamado EternalBlue está sendo usado para propagação em redes corporativas. 

Na maioria dos casos até agora, a Kaspersky detectou proativamente o vetor de infecção inicial através do seu motor de comportamento, o System Watcher. A empresa também está trabalhando na melhoria de detecção anti-ransomware comportamental para detectar proativamente novas versões futuras.

Recomendações

A Visual Systems é parceira da Kaspersky, onde especialistas vão continuar a examinar o problema para determinar se é possível descriptografar dados bloqueados no ataque. O objetivo é desenvolver uma ferramenta de descriptografia assim que possível.

Eles recomendam que todas as empresas atualizem seu software Windows: os usuários do Windows XP e Windows 7 podem se proteger instalando o patch de segurança MS17-010. Também recomendam que todas as organizações façam backup. Um backup adequado e oportuno de seus dados pode ser usado para restaurar arquivos originais após um evento de perda de dados.


Clientes corporativos da Kaspersky Lab também são aconselhados a:

  • Verifique se todos os mecanismos de proteção estão ativados conforme recomendado; E que os componentes KSN e System Watcher (que são ativados por padrão) não estão desativados.
  • Como uma medida adicional para clientes corporativos é usar o Controle de Privilégio de Aplicativos para negar qualquer acesso (e, portanto, possibilidade de interação ou execução) para todos os grupos de aplicativos ao arquivo com o nome “perfc.dat” e o utilitário PSexec (parte do O Sysinternals Suite) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm e http://support.kaspersky.com/10905#block1)
  • Você pode alternativamente usar o componente Controle de Inicialização de Aplicativos (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) do Kaspersky Endpoint Security para bloquear a execução do utilitário PSExec (parte do Sysinternals Suite), mas use o Controle de Privilégio de Aplicativos para bloquear o “perfc.dat”.
  • Configure e ative o modo de Recusa Padrão do componente Controle de Inicialização da Aplicação do Kaspersky Endpoint Security para garantir e reforçar a defesa proativa contra isso e outros ataques.
  • Se você não possui produtos da Kaspersky Lab no seu dispositivo – use o recurso AppLocker do sistema operacional Windows para desativar a execução de qualquer arquivo que carregue o nome “perfc.dat”, bem como o utilitário PSExec do Sysinternals Suite.


Prejuízo

De acordo com a imprensa, o provedor de email alemão Posteo cancelou o e-mail que deveria ser usado pelas vítimas para contatar os hackers, confirmar as transações de bitcoin e receber chaves de descriptografia. Isso significa que as vítimas que desejam pagar os criminosos não podem mais recuperar seus arquivos. De toda forma, a Kaspersky Lab não recomenda o pagamento do resgate.


Fonte: blog.kaspersky.com.br