Como acción de prevención de prioridad, actualizar cualquier sistema con
MS17-010, Si aún no contienen la actualización.
Cobertura de Network Security Platform (NSP) para Petya Ransomware
Firmas existentes:
- 0x43c0bd00-NETBIOS-SS: MS17-010 SMB ejecución remota de código (herramientas externas y ransomware de WannaCry)
- 0x43c0b800-NETBIOS-SS: Windows de SMBv1 idéntica vulnerabilidad de confusión en MID y FID (CVE-2017-0143)
- 0x43c0b400-NETBIOS-SS: Windows SMB vulnerabilidad de ejecución remota de código (CVE-2017-0144)
- 0x43c0b500-NETBIOS-SS: Windows SMB vulnerabilidad de ejecución remota de código (CVE-2017-0145)
- 0x43c0b300-NETBIOS-SS: Microsoft Windows SMB vulnerabilidad de escritura fuera de enlace (CVE-2017-0146)
- 0x43c0b900-NETBIOS-SS: vulnerabilidad de divulgación de información en Windows SMBv1 (CVE-2017-0147)
- Vulnerabilidad de ejecución de código arbitrario en 0x451e3300-HTTP: Microsoft Office (CVE-2017-0199)
El equipo de investigación de NSP ha creado una firma definida por el usuario (UDS) con cobertura actualizada. Los UDS están disponibles para su descarga desde
KB55447-registro: versiones de firma definidas por el usuario de Network Security Platform.
Nota: El contenido al que se hace referencia solo está disponible para los usuarios de ServicePortal registrados. Para ver el contenido, haga clic en el vínculo e inicie sesión cuando se le solicite.
Reglas de protección de acceso para Endpoint Security (ENS) y VirusScan Enterprise (VSE)
Las siguientes reglas de protección de acceso para ENS y VSE pueden ayudarle a combatir el malware. McAfee ha actualizado las reglas de protección de acceso recomendadas para dirigirse de forma más efectiva a esta variante específica de
Petya.
NOTA: Estas reglas de protección de acceso no evitan la necesidad de implementar la
Extra.DAT. Las reglas están pensadas para ayudar a combatir el malware. No obstante, las reglas no impiden que la carga de malware se cree o ejecute en un sistema. Estas dos reglas de protección de acceso impiden
rundll32.exe inicien instancias de
cmd.exee impedir también la creación de la Microsoft TechNet
PSExec version. Estas reglas no impiden la descarga o el almacenamiento del nombre de archivo original
PSExec. Por lo tanto, un administrador puede seguir utilizando esta utilidad según sea necesario.
Reglas de protección de acceso de ENS
Cree una regla con el estado de inclusión "incluir" mediante
rundll32.exe para el nombre de archivo o la ruta.
Cree una subregla con un tipo de "archivos" y una inclusión de destino
cmd.exe.
Seleccione la acción para evitar la ejecución.
Cree una regla con el estado de inclusión "incluir" utilizando * para el nombre de archivo o la ruta.
Cree una subregla con un tipo de "archivos" y una inclusión de destino
**\PSEXESVC.EXE.
Seleccione la acción para impedir la creación.
Reglas de protección de acceso de VSE
Proceso que incluir:
rundll32.exe
Proceso que excluir:
Archivo/carpeta que bloquear:
cmd.exe
Acciones: bloquear ejecución
NOTA: Esta regla impide el proceso
rundll32.exe desde la ejecución de cualquier instancia de
cmd.exe, se ha detectado un comportamiento principal de la malware. Esta regla incluye cualquier software legítimo que pueda realizar el mismo comportamiento, con scripts personalizados como ejemplo.
Proceso que incluir: *
Proceso que excluir:
Archivo/carpeta que bloquear:
**\PSEXESVC.EXE
Acciones: creación de bloqueo
NOTA: Esta regla impide que cualquier proceso cree la
PSExec servicio remoto. Impedir la creación de este archivo puede ayudarle a evitar la replicación de
PSExec, un componente utilizado en la replicación de la carga útil de malware. Esta regla no impide que un administrador guarde ninguna nueva copia de
PSExec a los sistemas a los que se aplica esta regla. Sin embargo, la regla impide que
PSEXESVC.EXE se creen en el sistema de destino, lo que impedirá el uso de
PSExec -Si se utiliza de forma maliciosa o con fines administrativos remotos normales.