Loading...

Knowledge Center


Proteção contra a variante modificada do ransomware Petya (junho de 2017)
Technical Articles ID:   KB89540
Last Modified:  05/09/2017
Rated:


Environment

Produtos da McAfee que usam DATs

OBSERVAÇÃO: este artigo só se aplica a produtos empresariais da McAfee (Business e Enterprise). Se precisar de informação ou suporte para produtos McAfee Consumer ou Small Business, visite https://service.mcafee.com.
Artigo do Petya para consumidor: TS102703.

Summary

A McAfee está ciente de uma variante modificada do ransomware Petya (também chamado de PetrWrap, PetWrap, Petya.A, Petja) que foi detectada em ambientes corporativos.

  • A McAfee liberou um Extra.DAT (anexado a este artigo) para incluir a cobertura dessa ameaça.
     
  • A McAfee também liberou um DAT de emergência para incluir a cobertura do Petya. Os DATs subsequentes também incluirão cobertura.
    DATs mínimos para cobertura:
     
    • VSE (8574) ou superior
    • ENS (3025) ou superior  
       
  • O Extra.DAT anexado a este artigo está incluído nos DATs mostrados acima. Caso não tenha atualizado para os DATs mostrados acima, você deverá continuar para usar o Extra.DAT anexado a este artigo.
     
  • A McAfee também tem detecção para essa ameaça na Reputação de arquivo do GTI (Global Threat Intelligence) (com uma configuração de Baixo).
 

Leia as observações e a análise da McAfee aqui: https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire.

Este artigo será atualizado assim que mais informações estiverem disponíveis. Continue monitorando este documento para verificar se há atualizações.

Atualizações recentes deste artigo

Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para fazer uma assinatura.

Data Atualização
20 de julho de 2017 Adição de sinônimos pelos quais os clientes também podem pesquisar.
19 de julho de 2017 Correção das informações relacionadas ao PSExec.
3 de julho de 2017 Atualização das regras de proteção de acesso recomendadas para o VirusScan Enterprise e o Endpoint Security a fim de visar de maneira mais eficaz essa variante específica do Petya.
28 de junho de 2017 17:30 GMT Adição de informações sobre o DAT do ENS (3025).
28 de junho de 2017 12:45 GMT Adição de informações sobre o DAT de emergência 8574.
28 de junho de 2017 12:10 GMT Adição do link para observações e análise da McAfee.
28 de junho de 2017 01:55 GMT Adição de informações sobre a UDS (User Defined Signature - Assinatura definida pelo usuário) do NSP (Network Security Platform) com cobertura atualizada.
28 de junho de 2017 00:40 GMT Atualização das assinaturas existentes para adição de 0x43c0bd00- NETBIOS-SS: MS17-010 Execução remota de código SMB (Eternal Tools e WannaCry Ransomware)
27 de junho de 2017 22:40 GMT
  • Adição das regras de proteção de acesso para VSE e ENS.
  • Adição de mais recursos na seção Informações relacionadas.
27 de junho de 2017 21:30 GMT
  • Houve relatórios em que algumas pessoas não visualizavam o Extra.DAT atualizado, de modo que o anexamos novamente com um novo nome. O nome de arquivo correto deve ser EXTRADAT.zip.
  • Adição da cobertura NSP da McAfee para o Petya.
27 de junho de 2017 20:23 GMT Atualização com o novo arquivo Extra.DAT.


Essa ameaça apresenta os seguintes sintomas:

  • O método de propagação parece ser pelos protocolos RDP (Remote Desktop Protocol) e/ou SMB (Server Message Block).
     
  • O ransomware pode exibir a seguinte mensagem em um PC infectado:

    Repairing file system on C:

    The type of the file system is NTFS.
    One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.

    WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)
    (Reparando sistema de arquivos em C: O tipo do sistema de arquivos é NTFS. Um dos discos contém erros e precisa ser reparado. Esse processo pode levar algumas horas para ser concluído. É enfaticamente recomendado permitir que ele seja concluído. AVISO: NÃO DESLIGUE O COMPUTADOR! CASO ANULE ESSE PROCESSO, VOCÊ PODERÁ DESTRUIR TODOS OS SEUS DADOS! VERIFIQUE SE O CABO DE ENERGIA ESTÁ CONECTADO! CHKDSK está reparando o setor xxxxx de xxxxxxxx (x%))

     
  • Após a criptografia, os sistemas afetados podem solicitar que o usuário reinicialize. Após a reinicialização, uma tela de resgate semelhante à seguinte será exibida:



     
  • Atualmente, as extensões conhecidas a serem afetadas são:  
     
    .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Solution

​Como uma ação de prevenção prioritária, atualize todos os sistemas com MS17-010caso eles ainda não contenham o patch.  
 

Cobertura NSP da McAfee para o ransomware Petya
Assinaturas existentes:
  • 0x43c0bd00- NETBIOS-SS: MS17-010 Execução remota de código SMB (Eternal Tools e WannaCry Ransomware)
  • 0x43c0b800- NETBIOS-SS: vulnerabilidade de confusão de tipos MID e FID idênticos SMBv1 do Windows (CVE-2017-0143)   
  • 0x43c0b400- NETBIOS-SS: vulnerabilidade de execução remota de código SMB do Windows (CVE-2017-0144)   
  • 0x43c0b500- NETBIOS-SS: vulnerabilidade de execução remota de código SMB do Windows (CVE-2017-0145) 
  • 0x43c0b300- NETBIOS-SS: vulnerabilidade de gravação fora do limite SMB do Windows (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: vulnerabilidade de divulgação de informações SMBv1 do Windows (CVE-2017-0147)  
  • 0x451e3300- HTTP: vulnerabilidade de execução arbitrária de código OLE do Microsoft Office (CVE-2017-0199)
A equipe de Pesquisa NSP criou uma UDS (User Defined Signature - Assinatura definida pelo usuário) com cobertura atualizada. A UDS está disponível para download no artigo KB55447.

O artigo mencionado acima está disponível apenas para usuários registrados do ServicePortal.

Para exibir artigos registrados:
  1. Entre no ServicePortal em http://support.mcafee.com.
  2. Digite a ID do artigo no campo Pesquisar no Centro de conhecimento na página inicial.
  3. Clique em Pesquisar ou pressione ENTER.


Regras de proteção de acesso para o VirusScan Enterprise (VSE) e o Endpoint Security (ENS)
As regras de proteção de acesso a seguir para o VSE e ENS podem ajudar a combater o malware.  A McAfee atualizou as regras de proteção de acesso recomendadas para visar essa variante específica do Petya de maneira mais eficaz.

NOTA: essas regras de proteção de acesso não eliminam a necessidade de implementar o Extra.DAT. Elas se destinam a auxiliar no combate ao malware, mas não impedirão que a carga do malware seja criada nem executada em um sistema.  Essas duas regras de proteção de acesso impedirão o rundll32.exe de iniciar qualquer instância de cmd.exe, bem como impedirão a criação do utilitário PSExec do Microsoft Technet.  Elas não impedirão o download e/ou o salvamento do nome de arquivo original para PSExec, de modo que um administrador ainda poderá usar esse utilitário conforme a necessidade.
  
Regras de proteção de acesso do VSE
Processo a ser incluído: rundll32.exe
Processo a ser excluído:
Arquivo/pasta a ser bloqueado(a): cmd.exe
Ações: execução de bloqueio

NOTA:  isso impedirá que o processo chamado rundll32.exe execute qualquer instância de cmd.exe, descoberta como o principal comportamento do malware.  Isso inclui qualquer software legítimo que possa apresentar o mesmo comportamento, com a criação de script personalizado como um exemplo.
 
Processo a ser incluído: *
Processo a ser excluído:
Arquivo/pasta a ser bloqueado(a): **\PSEXESVC.EXE
Ações: criação de bloqueio

NOTA:  isso impedirá qualquer processo de criar o serviço remoto de PSExec. Impedir a criação desse arquivo pode ajudar a impedir a replicação de PSExec, um componente usado na replicação da carga do malware. Isso não impedirá que um administrador salve novas cópias de PSExec nos sistemas em que essa regra é aplicada, mas impedirá que PSEXESVC.EXE seja criado no sistema de destino, impedindo, assim, o uso de PSExec - seja ele de modo mal-intencionado, seja para fins comuns de administração remota.
 
 
Regras de proteção de acesso do ENS
Criar uma nova regra com um status de inclusão de "Incluir" usando rundll32.exe para o Nome de arquivo ou Caminho
Criar uma sub-regra com um tipo de "arquivos" e para um destino incluir cmd.exe
Selecionar a ação para impedir a execução
 
Criar uma nova regra com um status de inclusão de "Incluir" usando * para o Nome de arquivo ou Caminho
Criar uma sub-regra com um tipo de "arquivos" e para um destino incluir **\PSEXESVC.EXE
Selecionar a ação para impedir a criação

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.