Semaltekspert - Hvordan bekjempe Petya, NotPetya, GoldenEye og Petrwrp?

Forcepoint Security Labs har omtalt det som et Petya-utbrudd, men andre leverandører bruker alternative ord og flere navn på det. Den gode nyheten er at denne prøven har tømt andetesten, og nå kan filer krypteres på disker uten å endre utvidelser. Du kan også prøve å kryptere Master Boot Record og sjekke ettervirkningene på datamaskinenhetene.

Betaler Petyas løsepengerett

Igor Gamanenko, kundesuksessjefen for Semalt , foreslår at du ikke betaler løsepenger for enhver pris.

Det er bedre å deaktivere e-post-ID-en din i stedet for å betale løsepenger til hackeren eller angriperen. Betalingsmekanismene deres er vanligvis skjøre og ikke-legitime. Hvis du skal betale løsepenger gjennom en BitCoin-lommebok, kan angriperen stjele mye mer penger fra kontoen din uten å gi deg beskjed.

I disse dager har det blitt veldig tøft å få tak i ukrypterte filer uavhengig av at dekrypteringsverktøy ville være tilgjengelig i løpet av de kommende månedene. Infeksjonsvektor- og beskyttelseserklæring Microsoft hevder at den opprinnelige infeksjonsleverandøren har forskjellige ondsinnede koder og ikke-legitime programvareoppdateringer. I slike tilfeller kan det hende at leverandøren ikke kan oppdage problemet på en bedre måte.

Den nåværende iterasjonen av Petya tar sikte på å unngå kommunikasjonsvektorer som er lagret av e-postsikkerhets- og websikkerhetsportene. Mange prøver er analysert ved hjelp av forskjellige legitimasjonsbeskrivelser for å finne ut av løsningen på problemet.

Kombinasjonen av WMIC- og PSEXEC-kommandoer er langt bedre enn SMBv1-utnyttelsen. Per nå er det uklart om en organisasjon som stoler på tredjepartsnettverk vil forstå andre organisasjoners regler og regler.

Dermed kan vi si at Petya ikke gir noen overraskelser for forskere i Forcepoint Security Labs. Fra juni 2017 kan Forcepoint NGFW oppdage og sperre SMB-utnyttelsesgjennomføringer fra angripere og hackere.

Deja vu: Petya Ransomware og SMB-forplantningsevner

Petya-utbruddet ble registrert i fjerde uke i juni 2017. Det har hatt stor innvirkning på forskjellige internasjonale firmaer, med nyhetsnettsteder som hevder at effektene er langvarig. Forcepoint Security Labs har analysert og gjennomgått forskjellige prøver assosiert med utbruddene. Det ser ut til at rapportene fra Forcepoint Security Labs ikke er helt utarbeidet, og selskapet krever ekstra tid før det kan komme med noen konklusjoner. Dermed vil det være en betydelig forsinkelse mellom krypteringsprosedyren og kjøringen av skadelig programvare.

Gitt at viruset og skadelig programvare starter maskinene på nytt, kan det ta flere dager før de endelige resultatene blir avslørt.

Konklusjon og anbefalinger

Konklusjonen og vurderingen av en vidtgående implikasjon av utbruddene er vanskelig å trekke på dette stadiet. Det ser imidlertid ut som det er det siste forsøket på å distribuere selvutbredende stykker ransomware. Per nå har Forcepoint Security Labs som mål å fortsette forskningen på mulige trusler. Selskapet kan snart komme med de endelige resultatene, men det krever betydelig tid. Bruken av SMBvi-utnyttelser vil bli avslørt når Forcepoint Security Labs presenterer resultatene. Du må sørge for at sikkerhetsoppdateringer er installert på datasystemene dine. I henhold til Microsofts retningslinjer, bør klienter deaktivere SMBv1 på alle Windows-systemer der det påvirker systemets funksjoner og ytelse.