IMPORTANT : La couverture précédemment fournie par extra .DAT est désormais incluse dans les versions des fichiers DAT :
- 4487 fichiers DAT v3 (ENS)
- 10035 fichiers DAT v2 (VSE)
Les fichiers DAT ci-dessus ont été publiés le 4 juillet 2021.
Détails de la détection :
- Dropper-FYD!561CFFBABA71
- Ransom-revil.c
Endpoint Security et VirusScan Enterprise :
La couverture des variantes de logiciels malveillants connues est assurée par le contenu DAT répertorié ci-dessus ou version ultérieure. McAfee recommande d’effectuer une analyse avec les fichiers DAT de production actuels.
McAfee a généré des rapports de renseignement sur les produits en fonction des IOCS associés à la campagne, qui sont joints à cet article. Ces rapports contiennent des contre-mesures ENS supplémentaires qui ont été démontrées pour se déclencher en fonction du comportement d’attaque connu.
REMARQUE : Avant de mettre en œuvre les recommandations, vous devez tester les règles en détail. Les tests approfondis garantissent l’intégrité des règles. Elle garantit également qu’aucune application légitime, développée ou non, n’est considérée comme malveillante et empêchant son fonctionnement dans votre environnement de production. Les règles suggérées peuvent être définies en mode rapport uniquement à des fins de test afin de vérifier qu’elles provoquent un conflit dans votre environnement. Après avoir déterminé que les règles ne bloquent aucune activité des applications légitimes ou créé des exclusions nécessaires, vous pouvez définir les règles à bloquer et appliquer ces paramètres à tous les systèmes concernés.
MVISION EDR:
Une recherche en temps réel des éléments sélectionnés
IOCs vous pouvez effectuer une recherche comme décrit ci-dessous :
HostInfo and Files name, full_name, create_user_name, sha1, md5, sha256 where Files sha256 equals "d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e" or Files sha256 equals "8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd"