Estamos cientes de uma nova variante do ransomware que foi detectada em ambientes corporativos. Nome da ameaça:
resgate-WannaCry (também conhecido como
WCry ,
WannaCryptWanaCrypt , e WanaCrypt0r).
Consulte os artigos relacionados abaixo:
DATs mínimos por cobertura:
- Endpoint Security (ENS) 2978 ou superior *
- VirusScan Enterprise (VSE) 8527 ou superior *
* Proteção de conteúdo definida pela McAfee contra variantes conhecidas.
Como prática recomendada, configure tarefas de atualização de repositório com um intervalo de atualização mínimo. Essa prática garante que o novo conteúdo seja aplicado ao liberá-lo.
Este artigo é atualizado como e quando informações adicionais estão disponíveis. Continue a monitor este artigo para obter atualizações.
Tópicos deste artigo
Sintomas de sistemas infectados
ENSproteção de acesso do VSE
regras de proteção deacesso
ENS proteção adaptável contra ameaças – real Protect e confinamento dinâmico de aplicativos
ENS confinamento dinâmico de aplicativos regras
Advanced Threat Defense cobertura para WannaCry o ransomware
NSP cobertura para WannaCry
perguntas frequentes
Atualizações recentes deste artigo
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Data |
Atualização |
16 de março de 2022 |
Atualizações de formatação secundárias. Nenhuma alteração de conteúdo. |
Essa ameaça apresenta os seguintes sintomas nos sistemas infectados:
- Os arquivos são criptografados com o e .wncryt a .wnry, .wcry, .wncry, .wcryt extensão. Os usuários visualizam uma tela com uma mensagem de resgate.
- Os usuários veem o seguinte fundo de área de trabalho de resgate-WannaCry:
- Na reinicialização, os sistemas impactados têm um erro de tela azul e não podem ser iniciados.
- A criptografia é vista nos compartilhamentos host locais e abertos SMB.
Importante: Instale imediatamente o Microsoft crítico patch MS17-010 para impedir que SMB compartilhamentos sejam criptografados. Para obter detalhes, consulte este artigo de Microsoft.
Voltar ao início
Medidas pró-ativas da proteção de acesso do ENS e VSE
Nota: As regras de proteção de acesso do ENS e do VSE impedem a .WNRY criação do arquivo. Essa regra impede a rotina de criptografia, que é o local onde são exibidos os arquivos criptografados que contêm uma ou mais .WNCRYT, .WNCRY.WCRY extensões. Com a implementação do bloco em .WNRY , outros blocos não são necessários para os tipos de arquivo criptografados. |
Use as regras de proteção de acesso do VSE:
Regra 1:
Tipo de regra: Regra de bloqueio de registro
Processo a incluir: *
chave de registro ou valor a ser protegido: HKLM - /Software/WanaCrypt0r
chave de registro ou valor p Protect: Key
Ações de arquivo a serem impedidas: Criar chave ou valor
Regra 2:
Tipo de regra: Regra de bloqueio de arquivo/pasta
Processo a incluir: *
nome do arquivo ou da pasta a ser bloqueado: *.wnry
ações de arquivo a serem impedidas: novos arquivos sendo criados
Voltar ao início
Use as regras de proteção de acesso do ENS:
Regra 1:
Executável 1:
Inclusão: Incluí
Nome do arquivo ou caminho: *
Sub-regra 1:
Tipo de sub-regra: Chave de registro
Operações: Criar
Destino 1:
Inclusão: Incluí
Arquivo, nome da pasta ou caminho de arquivo: *\Software\WanaCrypt0r
Sub-regra 2:
Tipo de sub-regra: Contidos
Operações: Criar
Destino 1:
Inclusão: Incluí
Arquivo, nome da pasta ou caminho de arquivo: *.wnry
Voltar ao início
ENS com proteção adaptável contra ameaças (ATP) – real Protect e confinamento dinâmico de aplicativos (DAC)
O ENS ATP Real Protect, com DAC, fornece proteção de última geração contra explorações desconhecidas.
ENS ATP oferece proteção total contra todas as variantes conhecidas da exploração do WannaCry. Recomendamos a seguinte configuração de ATP para detecção de variantes de WannaCry desconhecidas.
- Defina a configuração a seguir na política de opções de Proteção adaptável contra ameaças:
Atribuição de regra = segurança (a configuração padrão é equilibrada)
- Configure as seguintes regras na política de Proteção adaptável contra ameaças – Confinamento dinâmico de aplicativos:
Confinamento dinâmico de aplicativos-regras
de confinamento
Consulte regras e práticas recomendadas do confinamento dinâmico de aplicativos KB87843 edefina as regras de DAC recomendadas a serem bloqueadas conforme prescrito.
Voltar ao início
Regras de DAC do ens disparadas pelas variantes
de ransomware-WannaCry
Esta seção fornece informações adicionais sobre as regras de DAC observadas disparadas por variantes de WannaCry conhecidas. Para processos que outras camadas da pilha de segurança do ENS não detectam, a ativação de regras extras pode não ser necessária para conter efetivamente os processos. Consulte regras e práticas recomendadas do confinamento dinâmico de aplicativos KB87843 edefina as regras de DAC recomendadas a serem bloqueadas conforme prescrito.
Regra 1:
Nome da regra: Execução de qualquer processo filho
Regra 2:
Nome da regra: Acesso a locais de cookie do usuário
Regra 3:
Nome da regra: Criação de arquivos com o arquivo. html,. jpg ou .bmp a extensão
Regra 4:
Nome da regra: Criação de arquivos com a .exe extensão
Regra 5:
Nome da regra: Modificação de pastas de dados de usuários
Regra 6:
Nome da regra: Modificação de locais de registro de inicialização
Regra 7:
Nome da regra: Modificação de arquivos de Windows críticos e locais de registro
Regra 8:
Nome da regra: Leitura ou modificação de arquivos em qualquer local de rede
Regra 9:
Nome da regra: Modificação de arquivos com a .bat extensão
Regra 10:
Nome da regra: Modificação de arquivos com a .vbs extensão
Regra 11:
Nome da regra: Criação de arquivos com a .bat extensão
Regra 12:
Nome da regra: Leitura de arquivos comumente visados por malware de classe de ransomware
Regra 13:
Nome da regra: Criação de arquivos em qualquer local de rede
Regra 14:
Nome da regra: Gravação em arquivos comumente visados por malware de classe de ransomware
Regra 15:
Nome da regra: Modificando o bit de atributo oculto
Voltar ao início
Pacote de atualização de conteúdo Advanced Threat Defense (ATD) para WannaCry disponível nas seguintes compilações, ou posteriores:
3.6.x – 3.6.2.103.61987 ou
3.8.x posterior para o pacote – 3.8.2.170207.59307 ou posterior
3.10.x3.10.2.170712.61985 – ou posterior
4.0 – a detecção está incluída na instalação base
Cobertura do NSP para ransomware do WannaCry:
Assinaturas existentes:
- 0x43c0b800-NETBIOS-SS: Windows SMBv1 vulnerabilidade de confusão de tipo MID e FID idêntica (CVE-2017-0143)
- 0x43c0b400-NETBIOS-SS: Windows SMB vulnerabilidade de execução remota de código (CVE-2017-0144)
- 0x43c0b500-NETBIOS-SS: Windows SMB vulnerabilidade de execução remota de código (CVE-2017-0145)
- 0x43c0b300-NETBIOS-SS: Microsoft Windows SMB vulnerabilidade de gravação fora de ligação (CVE-2017-0146)
- 0x43c0b900-NETBIOS-SS: Windows vulnerabilidade de divulgação de informações SMBv1 (CVE-2017-0147)
Voltar ao início
Perguntas frequentes sobre o resgate-WannaCry
A existência de controle de aplicativos no modo de bloqueio ajuda a impedir a infecção?Sim, pois o Application Control
bloqueia qualquer novo hash valores que não estejam na lista de permissão.
Faz uma combinação de Threat Intelligence Exchange (TIE) e ATD bloqueia esta ameaça no dia 0?
O TIE e o ATD contêm várias amostras de WannaCry de 0 dias. Para as amostras que são perdidas, mais inteligência são adicionadas à nuvem, o que pega as variantes do WannaCry subsequentes como 0-Day. O ATD também libera atualizações de conteúdo específicas para o WannaCry. Essas atualizações de conteúdo estão disponíveis nas compilações atuais.
Por que você está nomeando as regras de proteção de acesso genericamente?
Os nomes de regras não causam impacto na própria regra e podem ser nomeados do que você desejar.
Por que a chave do software não usa ' \ ' e não ' / '?
' \ ' é a sintaxe correta que deve ser inserida, mas o produto gerenciado modifica o caminho e substitui ' \ ' por '/'.
Por que a regra de extensão do arquivo não é: **\*.wnry ?O ENS e o VSE usam diferentes sintaxes de caractere curinga; Portanto, é melhor usá
*.wnry -lo, pois ambos podem usar a regra adequadamente.
Em que arquivo de DAT regulares a cobertura é liberada?ENS DAT 2978 ou posterior
VSE DAT 8527 ou posterior