最新的全球赎金软件攻击的受害者敦促不支付
似乎与Petya系列相关的赎金软件并使用与Wannacry在美国的组织中受到影响,在乌克兰,俄罗斯和欧洲的攻击之后,使用相同的EternalBlue开发。
新的赎金软件,卡巴斯基实验室的Expet,已与Petya相关联,因为,像那个赎金软件一样,它还尝试加密硬盘的主引导记录(MBR),将受害者锁定在他们的计算机中 - 不仅仅是文件。
安全研究人员还强调,用于传播,Expet不仅仅是在Microsoft Windows中的服务器消息块协议中针对已知漏洞的Eternablue Exploit。
通过通过TCP端口445定位Windows XP到2008系统的EterNalromance Exploit,并通过滥用合法命令行工具PSExec和Windows管理仪表命令行(WMIC)来分布。
ransomware还使用公开的可用性memikatztool来获取纯广告文本中所有Windows用户的凭据,包括本地管理员和域用户。
这意味着即使已经申请了被NSA开发的EteroalBlue和Eternallomance和Eeternallomance和Eternallomance剧本所发出的MicroSosf补丁,计算机仍可能易受攻击,并且随后被阴影布的黑暗攻击组被盗窃和泄漏并泄漏。
但是,对于任何未括的机器,仍然建议立即应用Microsoft补丁。
鉴于攻击者的电子邮件帐户接受赎金支付已被关闭,受害者也被告知不会支付300美元的赎金,因为它们不太可能收到解密受影响的文件的关键。
安全研究人员监控与赎金软件报告相关的比特币钱包在攻击开始后几个小时,钱包开始接收资金,表明一些受害者愿意立即支付。但是,只有大约26名受害者被认为在第一天支付。
为防止赎金软件在网络中传播,安全公司的正技术建议关闭尚未感染的计算机,从网络中断开受感染的主机,并制作受损系统的图像。
该方法对于恢复数据可能有用,如果研究人员找到了解密文件的方法。此外,这些图像可用于分析勒索软件。
该公司的研究人员还声称已经发现杀死交换机在本地禁用勒索软件,并在博客文章中提供了详细信息。
研究人员发现,ransomware检查Perfc文件是否在执行之前存在于C:/ Windows /文件夹中。他们建议在这个文件夹中创建一个具有正确名称的文件可以防止替换MBR和进一步加密。同样,其他研究人员建议阻塞C:/windows/perfc.datfrom写或执行可能会停止勒索软件。
对企业的反赎金软件推荐
使用Windows Applocker功能禁用执行携带名称“perfc.dat”的任何文件的文件以及Sysinternals Suite的PSExec实用程序。尽快隔离受感染的终点。使用妥协指标更新安全系统。制定员工定期培训课程制度,通过展示对公司基础设施的潜在攻击的实际示例来提高信息安全问题的认识。安装具有自我保护的Antimalware软件,需要一个特殊的密码来禁用或更改其设置。确保在所有公司基础架构的所有主机上定期更新软件和操作系统,以及管理漏洞和更新的有效进程。进行常规信息安全审核和渗透测试将及时检测保护和漏洞的现有缺陷。监控公司网络外线,以控制从Internet访问的网络服务接口,并及时纠正防火墙的配置。监视内部网络以检测并消除已发生的攻击。要应用此本地杀戮开关或疫苗,管理员需要找到C:/ Windows /文件夹并创建名为PERCC的文件,没有扩展名。
根据卡斯巴斯基实验室的说法,在攻击的第一天结束时,兰扬软件袭击了大约2,000台机器,这似乎表明了比Wannacry更慢的蔓延。
代码分析表明,新的赎金软件不会尝试将自己扩展到网络上,领导几位专家预测攻击不会显着传播,除非是BBC,否则将其修改。
Amichai Shulman,Celity Compervea的联合创始人和首席技术官表示,如凡人,这个最新的攻击显示迅速复制赎金软件不是可行的财务模式。
“此数据支持此恶意软件是国家国家驱动的论点,仅针对扰乱运营而不是在赎金上的货币化。”
兰克省的已知受害者包括乌克兰的核心银行,乌克兰的乌克兰电力供应商,切尔诺贝利核电站,机场和地铁服务在整个乌克兰,英国广告公司WPP,美国制药公司梅克,跨国律师事务所DLA Piper,丹麦航运公司APMoller-Maersk,俄罗斯石油公司Rosneft,宾夕法尼亚州医院运营商遗产史上卫生系统,荷兰航运公司TNT和法国建筑材料公司圣戈贝板。
