Loading...

Knowledge Center


Protezione contro la variante modificata del ransomware Petya (giugno 2017)
Technical Articles ID:   KB89540
Last Modified:  05/09/2017
Rated:


Environment

Prodotti McAfee che utilizzano DAT

NOTA: questo articolo si applica solo ai prodotti McAfee per medie e grandi aziende. Per ulteriori informazioni o assistenza per i prodotti McAfee consumer o per piccole aziende, visitare https://service.mcafee.com.
Articolo per clienti relativo a Petya: TS102703.

Summary

McAfee è a conoscenza di una variante modificata del ransomware Petya (detta anche PetrWrap, PetWrap, Petya.A, Petja), rilevata in ambienti aziendali.

  • McAfee ha rilasciato un file Extra.DAT (allegato a questo articolo) per offrire la copertura da questa minaccia.
     
  • McAfee ha inoltre rilasciato un DAT di emergenza per includere la copertura da Petya. Anche i DAT successivi includeranno la copertura.
    DAT minimi per la copertura:
     
    • VSE (8574) o versioni successive
    • ENS (3025) o versioni successive
       
  • Il file Extra.DAT allegato a questo articolo è incluso nei DAT sotto indicati. Se non è stato eseguito l'aggiornamento ai DAT sopra indicati, è opportuno continuare a utilizzare il file Extra.DAT allegato a questo articolo.
     
  • McAfee offre il rilevamento di questa minaccia anche in Reputazione file di Global Threat Intelligence (GTI) (con impostazione Bassa).
 

Le osservazioni e l'analisi di McAfee sono disponibili all'indirizzo: https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire.

Il presente articolo verrà aggiornato appena saranno disponibili informazioni aggiuntive. Continuare a monitorare questo documento per individuarne gli aggiornamenti.

Aggiornamenti recenti a questo articolo

Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per effettuare la sottoscrizioni bisogna aver effettuato l'accesso.

Data Aggiorna
20 luglio 2017 Aggiunta di sinonimi cercati dai clienti.
19 luglio 2017 Correzione delle informazioni relative a PSExec.
3 luglio 2017 Aggiornamento delle regole di protezione dell'accesso consigliate per VirusScan Enterprise ed Endpoint Security in modo da contrastare più efficacemente questa variante specifica di Petya.
28 giugno 2017, 17:30 GMT Aggiunta di informazioni sul DAT per ENS (3025).
28 giugno 2017, 12:45 GMT Aggiunta di informazioni sul DAT di emergenza 8574.
28 giugno 2017, 12:10 GMT Aggiunta del collegamento a osservazioni e analisi di McAfee.
28 giugno 2017, 01:55 GMT Aggiunta di informazioni sulla firma definita dall'utente (UDS) di Network Security (NSP) con copertura aggiornata.
28 giugno 2017, 00:40 GMT Aggiornamento delle firme esistenti per aggiungere 0x43c0bd00- NETBIOS-SS: Esecuzione di codice remoto SMB MS17-010 (ransomware WannaCry ed Eternal Tools)
27 giugno 2017, 22:40 GMT
  • Aggiunta delle regole di protezione dell'accesso per VSE ed ENS.
  • Aggiunta di altre risorse nella sezione Informazioni correlate.
27 giugno 2017, 21:30 GMT
  • È stato segnalato che alcuni utenti non riuscivano a vedere il file Extra.DAT aggiornato, per questo è stato riallegato con un nuovo nome. Il nome file corretto è EXTRADAT.zip.
  • Aggiunta della copertura per Petya a McAfee NSP.
27 giugno 2017, 20:23 GMT Aggiornamento con nuovo file Extra.DAT.


Questa minaccia presenta i seguenti sintomi:

  • La propagazione sembra avvenire tramite i protocolli Remote Desktop Protocol (RDP) e/o Server Message Block (SMB).
     
  • Il ransomware potrebbe visualizzare il seguente messaggio su un PC infetto:

    Repairing file system on C: (Riparazione del file system su C: in corso)

    The type of the file system is NTFS. (Il tipo di file system è NTFS.)
    One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete. (Uno dei dischi contiene errori e deve essere riparato. Questo processo può richiedere alcune ore. Si consiglia di attenderne il completamento.)

    WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN! (AVVISO: NON SPEGNERE IL PC! INTERROMPENDO QUESTO PROCESSO SI POTREBBERO DISTRUGGERE TUTTI I DATI. ASSICURARSI CHE IL CAVO DI ALIMENTAZIONE SIA INSERITO.)

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%) (CHKDSK sta riparando il settore xxxxx di xxxxxxxx (x%))


     
  • Dopo la crittografia, i sistemi interessati potrebbero inviare l'utente a riavviare il sistema. Dopo il riavvio, viene visualizzata una schermata di richiesta di riscatto simile alla seguente:



     
  • Attualmente sono noti gli effetti sui file con le seguenti estensioni:
     
    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Solution

Come azione preventiva prioritaria, aggiornare tutti i sistemi con MS17-010, se non contengono già la patch.
 

Copertura del ransomware Petya in McAfee NSP
Firme esistenti:
  • 0x43c0bd00- NETBIOS-SS: Esecuzione remota di codice SMB MS17-010 (ransomware WannaCry ed Eternal Tools)
  • 0x43c0b800- NETBIOS-SS: Vulnerabilità relativa alla confusione tra tipi FID e MID identici in Windows SMBv1 (CVE-2017-0143)
  • 0x43c0b400- NETBIOS-SS: Vulnerabilità relativa all'esecuzione remota di codice Windows SMB (CVE-2017-0144)
  • 0x43c0b500- NETBIOS-SS: Vulnerabilità relativa all'esecuzione remota di codice Windows SMB (CVE-2017-0145)
  • 0x43c0b300- NETBIOS-SS: Vulnerabilità relativa alla scrittura esternamente ai limiti di Microsoft Windows SMB (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: Vulnerabilità relativa alla divulgazione di informazioni di Windows SMBv1 (CVE-2017-0147)
  • 0x451e3300- HTTP: Vulnerabilità relativa all'esecuzione di codice OLE arbitrario di Microsoft Office (CVE-2017-0199)
Il team di ricerca NSP ha creato una firma definita dall'utente (UDS) con copertura aggiornata. La firma UDS è disponibile per il download nell'articolo KB55447.

L'articolo specificato sopra è disponibile solo per gli utenti registrati del ServicePortal.

Per visualizzare gli articoli registrati:
  1. Accedere a ServicePortal all'indirizzo http://support.mcafee.com.
  2. Digitare l'ID articolo nel campo Cerca nel centro informazioni della Home page.
  3. Fare clic su Cerca o premere INVIO. 


Regole di protezione dell'accesso per VirusScan Enterprise (VSE) ed Endpoint Security (ENS)
Le seguenti regole di protezione dell'accesso per VSE ed ENS possono contribuire a contrastare il malware.  McAfee ha aggiornato le regole AP consigliate per contrastare più efficacemente questa variante specifica di Petya.

NOTA: queste regole di protezione dell'accesso non eliminano la necessità di implementare Extra.DAT. Sono pensate per facilitare la lotta al malware, ma non impediscono la creazione o l'esecuzione del payload del malware su un sistema.  Queste due regole di protezione dell'accesso impediranno a rundll32.exe di avviare qualunque istanza di cmd.exe e di creare l'utilità PSExec di Microsoft Technet.  Non impediranno il download e/o il salvataggio del nome file originale per PSExec, pertanto un amministratore potrà ancora utilizzare l'utilità secondo necessità.
  
Regole di protezione dell'accesso per VSE
Processo da includere: rundll32.exe
Processo da escludere:
File/cartella da bloccare: cmd.exe
Azioni: bloccare l'esecuzione

NOTA: questo impedirà al processo rundll32.exe di eseguire qualsiasi istanza di cmd.exe, un comportamento basilare del malware.  Include qualsiasi software legittimo che potrebbe attuare lo stesso comportamento, ad esempio gli script personalizzati.
 
Processo da includere: *
Processo da escludere:
File/cartella da bloccare: **\PSEXESVC.EXE
Azioni: bloccare la creazione

NOTA: questo impedirà a qualsiasi processo di creare il servizio remoto di PSExec. Evitando la creazione di questo file è possibile impedire la replica di PSExec, un componente utilizzato nella replica del payload del malware. Questo non impedirà a un amministratore di salvare nuove copie di PSExec nei sistemi in cui vige questa regola, ma impedirà la creazione di PSEXESVC.EXE sul sistema di destinazione, impedendo pertanto l'uso di PSExec (per scopi nocivi o per le normali procedure di amministrazione remota).
 
 
Regole di protezione dell'accesso per ENS
Creare una nuova regola con stato di inclusione "Include" utilizzando rundll32.exe per il nome o il percorso del file
Creare una regola secondaria con tipo "files" e come destinazione includere cmd.exe
Selezionare l'azione per impedire l'esecuzione
 
Creare una nuova regola con stato di inclusione "Include" utilizzando * per il nome o il percorso del file
Creare una regola secondaria con tipo "files" e come destinazione includere **\PSEXESVC.EXE
Selezionare l'azione per impedire la creazione

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.