IMPORTANTE: La copertura precedentemente fornita da extra .DAT è ora inclusa nelle versioni dat:
- 4487 V3 dat (ENS)
- Dat V2 10035 (VSE)
I dat precedenti sono stati rilasciati il 4 luglio 2021.
Dettagli rilevamento:
- Dropper-FYD!561CFFBABA71
- Ransom-revil.c
Endpoint Security e VirusScan Enterprise:
La copertura per le varianti note di malware è fornita dal contenuto DAT elencato sopra o più recente. McAfee consiglia di eseguire la scansione con i file dat di produzione correnti.
McAfee ha generato rapporti di intelligence sui prodotti basati su indicatori correlati alla campagna, che sono allegati a questo articolo. Questi rapporti contengono altre contromisure ENS che sono state dimostrate per essere attivate contro il comportamento noto degli attacchi.
NOTA: Prima di implementare i suggerimenti, è necessario eseguire il test delle regole accuratamente. Test accurati garantiscono l'integrità della regola. Garantisce inoltre che nessuna applicazione legittima, internamente sviluppata o in altro modo, sia considerata dannosa e impedita di funzionare nell'ambiente di produzione. Le regole consigliate possono essere impostate in modalità solo rapporto a scopo di test per verificare se causano conflitti nell'ambiente. Dopo aver stabilito che le regole non bloccano alcuna attività da applicazioni legittime o sono state create esclusioni necessarie, è possibile impostare le regole per bloccare e applicare queste impostazioni a tutti i sistemi rilevanti.
MVISION EDR:
Una ricerca in tempo reale delle selezioni
IOCs può essere eseguita con una ricerca come descritto di seguito:
HostInfo and Files name, full_name, create_user_name, sha1, md5, sha256 where Files sha256 equals "d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e" or Files sha256 equals "8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd"
