Como uma ação de prevenção de prioridade, atualização qualquer sistema com
MS17-010, Se eles ainda não contiverem o atualização.
Cobertura do Network Security Platform (NSP) para Petya Ransomware
Assinaturas existentes:
- 0x43c0bd00-NETBIOS-SS: MS17-010 SMB execução remota de código (ferramentas externas e ransomware de WannaCry)
- 0x43c0b800-NETBIOS-SS: Windows SMBv1 vulnerabilidade de confusão de tipo MID e FID idêntica (CVE-2017-0143)
- 0x43c0b400-NETBIOS-SS: Windows SMB vulnerabilidade de execução remota de código (CVE-2017-0144)
- 0x43c0b500-NETBIOS-SS: Windows SMB vulnerabilidade de execução remota de código (CVE-2017-0145)
- 0x43c0b300-NETBIOS-SS: Microsoft Windows SMB vulnerabilidade de gravação fora de ligação (CVE-2017-0146)
- 0x43c0b900-NETBIOS-SS: Windows vulnerabilidade de divulgação de informações SMBv1 (CVE-2017-0147)
- 0x451e3300-HTTP: Microsoft Office vulnerabilidade de execução arbitrária de código OLE arbitrário (CVE-2017-0199)
A equipe de pesquisa do NSP criou uma assinatura definida pelo usuário (UDS) com cobertura atualizada. O UDS está disponível para download de
KB55447-registrado-atualizações de assinatura do Network Security Platform definidas pelo usuário.
Nota: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
Regras de proteção de acesso para Endpoint Security (ENS) e VirusScan Enterprise (VSE)
As regras de proteção de acesso a seguir para o ENS e o VSE podem ajudar a combater o malware. A McAfee atualizou as regras de proteção de acesso recomendadas para direcionar com mais eficiência essa variante específica do
Petya.
INDICADO Essas regras de proteção de acesso não evitam a necessidade de implementar o
Extra.DAT. As regras destinam-se a ajudar a combater a malware. No entanto, as regras não impedem que a carga de malware seja criada ou executada em um sistema. Essas duas regras de proteção de acesso impedem
rundll32.exe de iniciar quaisquer instâncias de
cmd.exee também impede a criação do Microsoft TechNet
PSExec utilitária. Essas regras não impedem o download ou o salvamento do nome de arquivo original para
PSExec. Portanto, um administrador ainda pode usar esse utilitário conforme o necessário.
Regras de proteção de acesso do ENS
Criar uma regra com um status de inclusão de "include" usando
rundll32.exe para o nome ou o caminho do arquivo.
Criar uma sub-regra com um tipo de "arquivos" e, para um destino, incluir
cmd.exe.
Selecione a ação para impedir a execução.
Crie uma regra com um status de inclusão de "include" usando * para o nome do arquivo ou o caminho.
Criar uma sub-regra com um tipo de "arquivos" e, para um destino, incluir
**\PSEXESVC.EXE.
Selecione a ação para impedir a criação.
Regras de proteção de acesso do VSE
Processo a ser incluído:
rundll32.exe
Processo a ser excluído:
Arquivo/pasta a ser bloqueado:
cmd.exe
Ações: Bloquear execução
INDICADO Essa regra impede que o processo
rundll32.exe executem qualquer instância do
cmd.exe, considerado um comportamento principal do malware. Essa regra inclui qualquer software legítimo que possa executar o mesmo comportamento, com scripts personalizados, como exemplo.
Processo a ser incluído: *
Processo a ser excluído:
Arquivo/pasta a ser bloqueado:
**\PSEXESVC.EXE
Ações: criação de bloqueio
INDICADO Essa regra impede que qualquer processo crie o
PSExec serviço remoto. A impedição dessa criação de arquivo pode ajudar a impedir a replicação de
PSExec, um componente usado na replicação da carga de malware. Esta regra não impede que um administrador salve nenhuma cópia nova do
PSExec para sistemas em que essa regra é aplicada. No entanto, a regra impede que
PSEXESVC.EXE sejam criados no sistema de destino, impedindo, assim, o uso de
PSExec -Se ele é usado maliciosamente ou para fins administrativos normais.