Loading...

Knowledge Center


Bescherming tegen gewijzigde Petya-ransomwarevariant (juni 2017)
Technical Articles ID:   KB89540
Last Modified:  5-9-2017
Rated:


Environment

McAfee-producten die DAT-bestanden gebruiken

OPMERKING: Dit artikel is alleen van toepassing op bedrijfs- en ondernemingsproducten van McAfee. Als u informatie of ondersteuning nodig hebt voor McAfee-producten voor consumenten of kleinbedrijven, gaat u naar https://service.mcafee.com.
Consumentenartikel voor Petya: TS102703.

Summary

McAfee is op de hoogte van een gewijzigde Petya-ransomwarevariant (ook wel PetrWrap, PetWrap, Petya.A of Petja genoemd) die is aangetroffen in bedrijfsomgevingen.

  • McAfee heeft een Extra.DAT uitgebracht (bijgevoegd bij dit artikel) met dekking voor deze bedreiging.
     
  • McAfee heeft ook een DAT-bestand voor noodgevallen uitgebracht met dekking voor Petya. Volgende DAT-bestanden zullen ook dekking bevatten.
    Minimaal benodigde DAT-bestanden voor dekking:
     
    • VSE (8574) of hoger
    • ENS (3025) of hoger  
       
  • Het Extra.DAT dat is bijgevoegd bij dit artikel, is opgenomen in de DAT-bestanden hierboven. Als u geen update hebt uitgevoerd naar de DAT-bestanden die hierboven zijn vermeld, moet u het Extra.DAT blijven gebruiken dat is bijgevoegd bij dit artikel.
     
  • McAfee kan deze bedreiging ook detecteren in Global Threat Intelligence (GTI) File Reputation (met de instelling Laag).
 

Lees hier de opmerkingen en analyses van McAfee: https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire.

Dit artikel wordt bijgewerkt wanneer er meer informatie beschikbaar is. Blijf dit document in de gaten houden voor updates.

Recente updates van dit artikel

Als u een e-mailbericht wilt ontvangen wanneer dit artikel is bijgewerkt, klikt u op Abonneren aan de rechterkant van de pagina. U moet zijn aangemeld om u te kunnen abonneren.

Datum Update
20 juli 2017 Synoniemen toegevoegd waar klanten ook naar zoeken.
19 juli 2017 De informatie over PSExec gecorrigeerd.
3 juli 2017 De aanbevolen toegangsbeveiligingsregels voor VirusScan Enterprise en Endpoint Security bijgewerkt om deze specifieke variant van Petya effectiever te bestrijden.
28 juni 2017 17:30 GMT Informatie toegevoegd over ENS DAT (3025).
28 juni 2017 12:45 GMT Informatie toegevoegd over DAT-bestand 8574 voor noodgevallen.
28 juni 2017 12:10 GMT Koppeling toegevoegd naar opmerkingen en analyses van McAfee.
28 juni 2017 01:55 GMT Informatie toegevoegd over Network Security (NSP) Door gebruiker gedefinieerd handtekening (UDS) met bijgewerkte dekking.
28 juni 2017 00:40 GMT Bestaande handtekeningen bijgewerkt om 0x43c0bd00- NETBIOS-SS: MS17-010 SMB Uitvoering van externe code (Eternal Tools en WannaCry-ransomware) toe te voegen
27 juni 2017 22:40 GMT
  • Toegangsbeveiligingsregels voor VSE en ENS toegevoegd.
  • Meer bronnen toegevoegd in het gedeelte Verwante informatie.
27 juni 2017 21:30 GMT
  • Er waren meldingen dat niet iedereen het bijgewerkte Extra.DAT kon zien, zodat we het opnieuw hebben bijgevoegd met een nieuwe naam. De juiste bestandsnaam moet EXTRADAT.zip zijn.
  • Dekking voor Petya toegevoegd voor McAfee NSP.
27 juni 2017 20:23 GMT Bijgewerkt met nieuw Extra.DAT-bestand.


Deze bedreiging veroorzaakt de volgende symptomen:

  • De doorvoermethode lijkt plaats te vinden via het Remote Desktop-protocol (RDP) en/of SMB-protocollen (Server Message Block).
     
  • De ransomware kan het volgende bericht weergeven op een geïnfecteerde pc:

    Repairing file system on C: (Bestandssysteem op C: wordt gerepareerd)

    The type of the file system is NTFS. (Het type van het bestandssysteem is NTFS.)
    One of your disks contains errors and needs to be repaired. (Een van uw schijven bevat fouten en moet worden gerepareerd.) This process may take several hours to complete. (Dit kan enkele uren duren.) It is strongly recommended to let it complete. (U wordt aangeraden dit proces te laten voltooien.)

    WARNING: DO NOT TURN OFF YOUR PC! (WAARSCHUWING: SCHAKEL UW PC NIET UIT!) IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! (ALS U DIT PROCES AFBREEKT, KUNT U AL UW GEGEVENS VERNIETIGEN!) PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN! (ZORG ERVOOR DAT HET NETSNOER IS AANGESLOTEN!)

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%) (CHKDSK repareert sector xxxxx van xxxxxxxx (x%))


     
  • Na de versleuteling kunnen aangetaste systemen de gebruiker vragen het systeem opnieuw op te starten. Nadat het systeem opnieuw is opgestart, wordt een scherm weergegeven dat vergelijkbaar is met het volgende:



     
  • Extensies waarvan bekend is dat ze worden aangetast:  
     
    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Solution

Als belangrijkste preventieactie moet u alle systemen bijwerken met MS17-010als ze deze patch nog niet bevatten.  
 

Dekking voor Petya-ransomware voor McAfee NSP
Bestaande handtekeningen:
  • 0x43c0bd00- NETBIOS-SS: MS17-010 SMB Uitvoering van externe code (Eternal Tools en WannaCry-ransomware)
  • 0x43c0b800- NETBIOS-SS: Windows SMBv1 Kwetsbaarheid vanwege verwarring identiek MID- en FID-type (CVE-2017-0143)   
  • 0x43c0b400- NETBIOS-SS: Windows SMB Kwetsbaarheid voor uitvoering van externe code (CVE-2017-0144)   
  • 0x43c0b500- NETBIOS-SS: Windows SMB Kwetsbaarheid voor uitvoering van externe code (CVE-2017-0145) 
  • 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB Kwetsbaarheid voor schrijven buiten grenzen (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: Windows SMBv1 Kwetsbaarheid voor bekendmaking van informatie (CVE-2017-0147)  
  • 0x451e3300- HTTP: Microsoft Office OLE Kwetsbaarheid voor uitvoering van willekeurige code (CVE-2017-0199)
Het onderzoeksteam van NSP heeft een UDS (User Defined Signature) gemaakt met bijgewerkte dekking. Deze UDS kan worden gedownload via KB55447.

Het artikel waarnaar hierboven wordt verwezen, is alleen beschikbaar voor geregistreerde ServicePortal-gebruikers.

Geregistreerde artikelen bekijken:
  1. Meld u aan bij ServicePortal op http://support.mcafee.com.
  2. Typ het artikelnummer in het veld Zoeken in het Kenniscentrum op de startpagina.
  3. Klik op Zoeken of druk op ENTER. 


Toegangsbeveiligingsregels voor VirusScan Enterprise (VSE) en Endpoint Security (ENS)
De volgende toegangsbeveiligingsregels voor VSE en ENS kunnen helpen de malware te bestrijden.  McAfee heeft de aanbevolen toegangsbeveiligingsregels bijgewerkt om deze specifieke variant van Petya effectiever te kunnen bestrijden.

OPMERKING: door deze toegangsbeveiligingsregels verdwijnt niet de noodzaak om het Extra.DAT-bestand te implementeren. Ze zijn bedoeld als hulpmiddel bij de bestrijding van de malware, maar voorkomen niet dat de malwarecode wordt gemaakt of uitgevoerd in een systeem.  Deze twee toegangsbeveiligingsregels voorkomen dat rundll32.exe exemplaren van cmd.exe start en voorkomt ook dat het hulpprogramma PSExec van Microsoft Technet wordt gemaakt.  Ze voorkomen niet dat de oorspronkelijke bestandsnaam voor PSExec wordt gedownload en/of opgeslagen, zodat een beheerder als het nodig is dit hulpprogramma nog steeds kan gebruiken.
  
Toegangsbeveiligingsregels voor VSE
Op te nemen proces: rundll32.exe
Uit te sluiten proces:
Te blokkeren bestand/map: cmd.exe
Acties: uitvoering blokkeren

OPMERKING:  hiermee voorkomt u dat het proces met de naam rundll32.exe exemplaren van cmd.exe uitvoert (kerngedrag van de malware).  Hiertoe behoort elke legitieme software die hetzelfde gedrag kan vertonen, bijvoorbeeld met aangepaste scripts.
 
Op te nemen proces: *
Uit te sluiten proces:
Te blokkeren bestand/map: **\PSEXESVC.EXE
Acties:  maken blokkeren

OPMERKING:  hiermee zorgt u ervoor dat geen enkel proces de externe service van PSExec maakt. Door te voorkomen dat dit bestand wordt gemaakt, kan de replicatie worden voorkomen van PSExec, een component die wordt gebruikt bij de replicatie van de malwarecode. Hiermee voorkomt u niet dat een beheerder nieuwe kopieën van PSExec kan opslaan op systemen waar deze regel wordt toegepast, maar voorkomt u wel dat PSEXESVC.EXE wordt gemaakt op het doelsysteem, zodat u het gebruik van PSExec voorkomt, of dat nu is voor schadelijke doeleinden of voor normaal extern beheer.
 
 
Toegangsbeveiligingsregels voor ENS
Maak een nieuwe regel met de status "Opnemen" met rundll32.exe als de bestandsnaam of het pad
Maak een subregel met het type "bestanden" en neem cmd.exe op als doel
Selecteer de actie om te voorkomen dat het bestand wordt uitgevoerd
 
Maak een nieuwe regel met de status "Opnemen" met * als de bestandsnaam of het pad
Maak een subregel met het type "bestanden" en neem **\PSEXESVC.EXE op als doel
Selecteer de actie om te voorkomen dat het bestand wordt gemaakt

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.