En tant qu’action de prévention prioritaire, mettez à jour les systèmes avec
MS17-010, s’ils ne contiennent pas déjà la mise à jour.
Couverture Network Security Platform (NSP) pour Petya Ransomware
Signatures existantes :
- 0x43c0bd00-NETBIOS-SS : MS17-010 SMB exécution de code à distance (outils externes et WannaCry ransomware)
- 0x43c0b800-NETBIOS-SS : Windows SMBv1 vulnérabilité de type confusion dans les types MID et FID identiques (CVE-2017-0143)
- 0x43c0b400-NETBIOS-SS : vulnérabilité de type exécution de code à distance dans Windows SMB (CVE-2017-0144)
- 0x43c0b500-NETBIOS-SS : vulnérabilité de type exécution de code à distance dans Windows SMB (CVE-2017-0145)
- 0x43c0b300-NETBIOS-SS : Microsoft Windows SMB vulnérabilité de type écriture hors limites (CVE-2017-0146)
- 0x43c0b900-NETBIOS-SS : vulnérabilité de type Divulgation d’informations liée au SMBv1 dans Windows (CVE-2017-0147)
- 0x451e3300-HTTP : Microsoft Office vulnérabilité de type exécution de code arbitraire dans OLE (CVE-2017-0199)
L’équipe de recherche NSP a créé une signature définie par l’utilisateur (UDS) avec une couverture mise à jour. L’UDS est disponible pour téléchargement à partir de
KB55447-REGISTERed-distributions de signatures définies par l’utilisateur dans Network Security Platform.
Remarque : Le contenu référencé est uniquement disponible pour les utilisateurs de ServicePortal consignés. Pour afficher le contenu, cliquez sur le lien et connectez-vous lorsque vous y êtes invité.
Règles de protection de l’accès pour Endpoint Security (ENS) et VirusScan Enterprise (VSE)
Les règles de protection de l’accès suivantes pour ENS et VSE peuvent aider à lutter contre les logiciels malveillants. McAfee a mis à jour les règles de protection de l’accès recommandées pour cibler plus efficacement cette variante spécifique de
Petya.
Veuillez Ces règles de protection de l’accès ne contournent pas la nécessité d’implémenter la
Extra.DAT. Ces règles sont destinées à faciliter la lutte contre les logiciels malveillants. Toutefois, les règles n’empêchent pas la création ou l’exécution de la charge active de logiciels malveillant (Malware) sur un système. Ces deux règles de protection de l’accès empêchent
rundll32.exe de démarrer des instances de
cmd.exeet empêcher la création de la Microsoft TechNet
PSExec utilitaire. Ces règles n’empêchent pas le téléchargement ou l’enregistrement du nom de fichier d’origine pour
PSExec. Ainsi, un administrateur peut continuer à utiliser cet utilitaire si nécessaire.
Règles de protection de l’accès ENS
Créer une règle avec l’état d’inclusion "inclure" à l’aide de
rundll32.exe pour le nom ou le chemin d’accès du fichier.
Créer une sous-règle avec un type de « fichiers » et pour une cible inclure
cmd.exe.
Sélectionnez l’action à empêcher d’exécuter.
Créez une règle avec le statut d’inclusion "include" à l’aide de * pour le nom ou le chemin d’accès du fichier.
Créer une sous-règle avec un type de « fichiers » et pour une cible inclure
**\PSEXESVC.EXE.
Sélectionnez l’action à empêcher de créer.
Règles de protection de l’accès VSE
Processus à inclure :
rundll32.exe
Processus à exclure :
Fichier/dossier à bloquer :
cmd.exe
Actions : bloquer l’exécution
Veuillez Cette règle empêche le processus
rundll32.exe d’exécuter des instances de
cmd.exe, qui se révèle être un comportement fondamental du logiciel malveillant (Malware). Cette règle inclut tous les logiciels légitimes susceptibles d’effectuer le même comportement, avec des scripts personnalisés comme exemple.
Processus à inclure : *
Processus à exclure :
Fichier/dossier à bloquer :
**\PSEXESVC.EXE
Actions : création de bloc
Veuillez Cette règle empêche tout processus de créer le
PSExec service à distance. Empêcher la création de ce fichier peut aider à empêcher la réplication de
PSExec, composant utilisé pour la réplication de la charge active de logiciels malveillants. Cette règle n’empêche pas un administrateur d’enregistrer de nouvelles copies de
PSExec sur les systèmes auxquels cette règle est appliquée. Toutefois, la règle empêche
PSEXESVC.EXE d’être créé sur le système cible, empêchant ainsi l’utilisation de
PSExec -indique s’il est utilisé de manière malveillante ou pour des raisons d’administration à distance normales.