Come azione di prevenzione prioritaria, aggiornare tutti i sistemi con
MS17-010, Se non contengono già l'aggiornamento.
Copertura Network Security Platform (NSP) per Petya Ransomware
Firme esistenti:
- 0x43c0bd00-NETBIOS-SS: MS17-010 SMB esecuzione remota di codice (strumenti esterni e WannaCry ransomware)
- 0x43c0b800-NETBIOS-SS: Windows SMBv1 la vulnerabilità della confusione di tipo MID e FID identica (CVE-2017-0143)
- 0x43c0b400-NETBIOS-SS: Windows SMB vulnerabilità di esecuzione di codice remoto (CVE-2017-0144)
- 0x43c0b500-NETBIOS-SS: Windows SMB vulnerabilità di esecuzione di codice remoto (CVE-2017-0145)
- 0x43c0b300-NETBIOS-SS: Microsoft Windows SMB vulnerabilità di scrittura non associata (CVE-2017-0146)
- 0x43c0b900-NETBIOS-SS: Windows SMBv1 vulnerabilità divulgazione delle informazioni (CVE-2017-0147)
- 0x451e3300-HTTP: Microsoft Office vulnerabilità di esecuzione di codice arbitrario OLE (CVE-2017-0199)
Il team di ricerca NSP ha creato una firma definita dall'utente (UDS, User Defined Signature) con una copertura aggiornata. Il UDS è disponibile per scaricare da
KB55447-registrato-rilasci di Signature definiti dall'utente di Network Security Platform.
Nota: Il contenuto a cui si fa riferimento è disponibile solo per gli utenti che hanno effettuato l'accesso a ServicePortal. Per visualizzare il contenuto, fare clic sul collegamento e accedere quando richiesto.
Regole di protezione dell'accesso per Endpoint Security (ENS) e VirusScan Enterprise (VSE)
Le seguenti regole di protezione dell'accesso per ENS e VSE possono aiutare a combattere i malware. McAfee ha aggiornato le regole di protezione dell'accesso consigliate per indirizzare in modo più efficace questa variante specifica di
Petya.
Nota Queste regole di protezione dell'accesso non aggirano la necessità di implementare il
Extra.DAT. Le regole sono destinate a contribuire a combattere i malware. Tuttavia, le regole non impediscono che il payload malware venga creato o eseguito su un sistema. Queste due regole di protezione dell'accesso impediscono
rundll32.exe dall'avvio di qualsiasi istanza di
cmd.exee impedire inoltre la creazione del Microsoft TechNet
PSExec utilità. Queste regole non impediscono il download o il salvataggio del nome file originale per
PSExec. Pertanto, un amministratore può continuare a utilizzare questa utilità in base alle esigenze.
Regole di protezione dell'accesso ENS
Creare una regola con lo stato di inclusione di "Includi" utilizzando
rundll32.exe per il nome o il percorso del file.
Creare una sottoregola con un tipo di "file" e per una destinazione includere
cmd.exe.
Selezionare l'azione per impedire l'esecuzione.
Creare una regola con lo stato di inclusione di "Includi" utilizzando * per il nome o il percorso del file.
Creare una sottoregola con un tipo di "file" e per una destinazione includere
**\PSEXESVC.EXE.
Selezionare l'azione per impedire la creazione.
Regole di protezione dell'accesso di VSE
Processo da includere:
rundll32.exe
Processo da escludere:
File/cartella da bloccare:
cmd.exe
Azioni: blocca esecuzione
Nota Questa regola impedisce il processo
rundll32.exe dall'esecuzione di qualsiasi istanza di
cmd.exe, si è rivelato un comportamento fondamentale del malware. Questa regola include tutti i software legittimi che potrebbero eseguire lo stesso comportamento, con un esempio di script personalizzato.
Processo da includere: *
Processo da escludere:
File/cartella da bloccare:
**\PSEXESVC.EXE
Azioni: creazione di blocchi
Nota Questa regola impedisce a qualsiasi processo di creare il
PSExec servizio remoto. La prevenzione della creazione di file può aiutare a prevenire la replica di
PSExec, un componente utilizzato per la replica del payload malware. Questa regola non impedisce a un amministratore di salvare le nuove copie di
PSExec ai sistemi in cui è applicata questa regola. Tuttavia, la regola impedisce
PSEXESVC.EXE di essere creati sul sistema di destinazione, impedendo così l'utilizzo di
PSExec -sia che venga utilizzato maliziosamente o per scopi amministrativi remoti normali.