IMPORTANTE: La cobertura proporcionada anteriormente por extra .DAT se incluye ahora en las versiones de DAT:
- 4487 V3 DAT (ENS)
- 10035 V2, DAT (VSE)
Los archivos DAT anteriores se publicaron el 4 de julio de 2021.
Detalles de la detección:
- Dropper-FYD!561CFFBABA71
- Ransom-revil.c
Endpoint Security y VirusScan Enterprise:
La cobertura de las variantes de malware conocidas la proporciona el contenido de DAT indicado anteriormente o más reciente. McAfee recomienda el análisis con los archivos DAT de producción actuales.
McAfee ha generado informes de inteligencia de productos basados en indicadores IOC admitidos relacionados con la campaña, que se adjuntan a este artículo. Estos informes contienen contramedidas adicionales de ENS que se han demostrado que se activan contra el comportamiento de ataque conocido.
NOTA: Antes de implementar las recomendaciones, debe probar las reglas minuciosamente. Las pruebas exhaustivas garantizan la integridad de las reglas. Asimismo, garantiza que ninguna aplicación legítima desarrollada o de otro modo se considera maliciosa y evita que funcione en su entorno de producción. Las reglas sugeridas se pueden definir en modo de solo informe para realizar pruebas con el fin de comprobar si causan algún conflicto en su entorno. Después de determinar que las reglas no bloquean ninguna actividad de aplicaciones legítimas o de crear exclusiones necesarias, puede establecer las reglas para bloquear y aplicar esta configuración a todos los sistemas relevantes.
MVISION EDR:
Una búsqueda en tiempo real de selección
IOCs se puede hacer con una búsqueda tal y como se describe a continuación:
HostInfo and Files name, full_name, create_user_name, sha1, md5, sha256 where Files sha256 equals "d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e" or Files sha256 equals "8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd"