McAfee è al corrente di una nuova variante di ransomware rilevata negli ambienti aziendali. Nome Minaccia:
Ransom-WannaCry (noto anche come
WCry,
WanaCrypt,
WannaCrypte WanaCrypt0r).
Leggi McAfee osservazioni e analisi:
https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/
Leggi l'avviso ufficiale di McAfee sulle minacce:
KB91863 -Avviso sulle minacce: Ransom-WannaCry.
Vedi anche le informazioni contenute in questo brief tecnico:
https://www.mcafee.com/us/resources/solution-briefs/sb-how-to-protect-against-ransomware.pdf
Dat minimo per la copertura:
- Endpoint Security (ENS) 2978 o superiore *
- VirusScan Enterprise (VSE) 8527 o superiore *
* Protezione del contenuto McAfee definita contro le varianti note.
Come procedura consigliata, configurare le attività di aggiornamento dell'archivio con un intervallo di aggiornamento minimo. Questa procedura consente di verificare che il nuovo contenuto venga applicato quando McAfee lo rilascia.
Questo articolo viene aggiornato come e quando sono disponibili ulteriori informazioni. Continua a monitorare questo articolo per gli aggiornamenti.
Argomenti di questo articolo
Sintomi dei sistemi infetti
Regole di protezione dell'accesso di VSE
Regole di protezione dell'accesso ENS
Protezione adattiva dalle minacce ENS – Real Protect e Contenimento dinamico delle applicazioni
Regole Contenimento dinamico delle applicazioni ENS
Copertura Advanced Threat Defense per WannaCry ransomware
McAfee copertura NSP per WannaCry ransomware
Domande frequenti
Aggiornamenti recenti a questo articolo
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
| Data |
Aggiornamento |
| 22 settembre 2020 |
Aggiunta nuova categoria Endpoint Security Protezione adattiva dalle minacce. |
| 12 marzo 2020 |
"DAT giornalieri sostituiti" con "DAT normale". |
| 9 settembre 2019 |
Il link per il Ransom-WannaCry Threat Advisory è stato modificato in KB91863. |
| 20 novembre 2017 |
Allegato file extra. DAT e riferimenti al file extra. DAT. |
Questa minaccia presenta i seguenti sintomi sui sistemi infetti:
- I file vengono crittografati con il .wnry, .wcry, .wncry, .wcryt, e .wncryt estensione. Gli utenti visualizzano una schermata con un messaggio di riscatto.
- Gli utenti visualizzano i seguenti sfondi per il desktop di Ransom-WannaCry:
- Al riavvio, i sistemi con impatto hanno un errore di schermata blu e non possono avviarsi.
- Cifratura visualizzata su host locali e aprire SMB condivisioni. IMPORTANTE Installare immediatamente la patch Microsoft Critical MS17-010, per impedire che SMB condivisioni vengano crittografate: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
Torna all'inizio
Misure proattive per la protezione dell'accesso Endpoint Security (ENS) e VirusScan Enterprise (VSE)
| Nota Le regole di protezione dell'accesso ENS e VSE impediscono la creazione del .WNRY file. Questa regola impedisce la procedura di cifratura, ovvero la posizione in cui vengono visualizzati i file crittografati che contengono uno o più .WNCRYT, .WNCRY, oppure .WCRY estensioni. Implementando il blocco da .WNRY, non sono necessari altri blocchi per i tipi di file crittografati. |
Utilizzare le regole di protezione dell'accesso di VSE:
Rule1
Tipo di regola: Regola di blocco del registro
Processo da includere: *
Chiave di registro o valore da proteggere: HKLM - /Software/WanaCrypt0r
Chiave di registro o valore p Protect: Chiave
Azioni file per impedire: Crea chiave o valore
Rule2
Tipo di regola: Regola di blocco di file/cartelle
Processo da includere: *
Nome file o cartella da bloccare: *.wnry
Azioni file per impedire: Nuovi file creati
Torna all'inizio
Utilizzare le regole di protezione dell'accesso ENS:
Rule1
Executable1:
Inclusione Includono
Nome o percorso file: *
SubRule1:
Tipo di sottoregola: Chiave di registro
Operazioni Creare
Target1
Inclusione Includono
File, nome cartella o percorso file: *\Software\WanaCrypt0r
SubRule2:
Tipo di sottoregola: File
Operazioni Creare
Target1
Inclusione Includono
File, nome cartella o percorso file: *.wnry
Torna all'inizio
Endpoint Security (ENS) con Protezione adattiva dalle minacce (ATP) – Real Protect e Contenimento dinamico delle applicazioni (DAC)
ENS ATP Real Protect, con DAC, fornisce una protezione di nuova generazione contro gli exploit sconosciuti.
ATP ENS offre una protezione completa da tutte le varianti note del exploit WannaCry. McAfee consiglia la seguente configurazione ATP per il rilevamento delle varianti sconosciute di WannaCry.
- Configurare le impostazioni seguenti nella Policy Protezione adattiva dalle minacce-Options:
Assegnazione di regole = Sicurezza (l'impostazione predefinita è bilanciata)
- Configurare le seguenti regole nel Protezione adattiva dalle minacce – Contenimento dinamico delle applicazioni policy:
Contenimento dinamico delle applicazioni – regole di contenimento
Vedere KB87843 -Elenco e procedure consigliate per Endpoint Security regole di Contenimento dinamico delle applicazioni e impostare le regole DAC consigliate su Blocco come prescritto.
Torna all'inizio
DAC DELL'ENS regole attivate dalle varianti di Ransom-WannaCry
In questa sezione vengono fornite ulteriori informazioni sulle regole DAC osservate attivate dalle varianti note di WannaCry. Per i processi che altri livelli della stack di sicurezza ENS non vengono rilevati, è possibile che l'attivazione delle regole aggiuntive non sia necessaria per contenere efficacemente i processi. Vedere KB87843 -Procedure consigliate per ENS Contenimento dinamico delle applicazioni rues e impostare le regole DAC consigliate su blocca come prescritto.
Rule1
Nome regola: Esecuzione di qualsiasi processo figlio
Rule2
Nome regola: Accesso alle posizioni cookie utente
Rule3:
Nome regola: Creazione di file con estensione. html,. jpg o. bmp
Rule4:
Nome regola: Creazione di file con estensione. exe
Rule5:
Nome regola: Modifica delle cartelle di dati degli utenti
Rule6:
Nome regola: Modifica delle posizioni del registro di avvio
Rule7:
Nome regola: Modifica di file Windows critici e posizioni di registro
Rule8:
Nome regola: Lettura o modifica di file in qualsiasi percorso di rete
Rule9:
Nome regola: Modifica di file con estensione. bat
Rule10:
Nome regola: Modifica di file con estensione. vbs
Rule11:
Nome regola: Creazione di file con estensione. bat
Rule12:
Nome regola: Lettura di file comunemente presi di mira da malware di classe ransomware
Rule13:
Nome regola: Creazione di file in qualsiasi percorso di rete
Rule14:
Nome regola: Scrittura in file comunemente presi di mira da malware di classe ransomware
Rule15:
Nome regola: Modifica del bit di attributo nascosto
Torna all'inizio
Advanced Threat Defense (ATD) pacchetto di aggiornamento del contenuto per WannaCry disponibile nelle build seguenti o versioni successive:
3.6.x – 3.6.2.103.61987 o versioni successive
3.8.x pacchetto 3.8.2.170207.59307 o versioni successive
3.10.x – 3.10.2.170712.61985 o versioni successive
4.0 – Rilevamento incluso nell'installazione di base
McAfee copertura NSP per WannaCry ransomware:
Firme esistenti:
- 0x43c0b800-NETBIOS-SS: Windows SMBv1 la vulnerabilità della confusione di tipo MID e FID identica (CVE-2017-0143)
- 0x43c0b400-NETBIOS-SS: Windows SMB vulnerabilità di esecuzione di codice remoto (CVE-2017-0144)
- 0x43c0b500-NETBIOS-SS: Windows SMB vulnerabilità di esecuzione di codice remoto (CVE-2017-0145)
- 0x43c0b300-NETBIOS-SS: Microsoft Windows SMB vulnerabilità di scrittura non associata (CVE-2017-0146)
- 0x43c0b900-NETBIOS-SS: Windows SMBv1 vulnerabilità divulgazione delle informazioni (CVE-2017-0147)
Il team di ricerca di NSP ha esaminato le informazioni relative a CVE-2017-0148 e ha creato un UDS. Il UDS è disponibile da
KB55447 -REGISTRATO-rilasci di Signature definiti dall'utente di Network Security Platform. Questo articolo è disponibile solo per gli utenti registrati. Accedere a
https://support.mcafee.com e accedere all'articolo.
Torna all'inizio
Domande frequenti su Ransom-WannaCry
L'utilizzo di McAfee Application Control (MAC) in modalità di blocco consente di impedire l'infezione?
Sì, poiché MAC blocca i nuovi valori di hash non inclusi nell'elenco Consenti.
Una combinazione di Threat Intelligence Exchange (TIE) e ATD blocca questa minaccia il giorno 0?
TIE e ATD contenevano diversi campioni WannaCry 0 giorni. Per i campioni che non sono stati utilizzati, è stata aggiunta un'ulteriore intelligenza al cloud, che ha rilevato varianti WannaCry successive come 0 giorni. ATD ha inoltre rilasciato aggiornamenti di contenuti specifici di WannaCry. Questi aggiornamenti di contenuto sono disponibili nelle build correnti.
Perché è possibile assegnare genericamente le regole di protezione dell'accesso?
I nomi delle regole non incidono sulla regola stessa e possono essere denominati come si desidera.
Perché la chiave software non viene utilizzata '\' e non '/'?
' \' è la sintassi corretta che si immetterebbe, ma il prodotto gestito modifica il percorso e sostituisce tutto ' \' con '/'. Questo è il motivo di questa sintassi.
Perché non è la regola dell'estensione del file: **\*.wnry?
No. Poiché ENS e VSE utilizzano una sintassi con caratteri jolly differenti, è consigliabile utilizzare
*.wnry, poiché entrambi possono utilizzare questa regola correttamente.
Quali file DAT regolari vengono rilasciati nella copertura?
DAT ENS 2978 o versione successiva
VSE DAT 8527 o versione successiva
