IMPORTANTE: A cobertura fornecida anteriormente pelo extra .DAT agora está incluída nas versões do dat:
- 4487 v3 DATs (ENS)
- DATs do 10035 v2 (VSE)
Os DATs acima foram lançados em 4 de julho de 2021.
Detalhes da detecção:
- Dropper-FYD!561CFFBABA71
- Ransom-revil.c
Endpoint Security e VirusScan Enterprise:
A cobertura para as variantes de malware conhecidas é fornecida pelo conteúdo do DAT listado acima ou mais recente. A McAfee recomenda a varredura com DATs de produção atuais.
McAfee gerou relatórios de inteligência de produto com base no IoC compatível relacionado à campanha, que estão anexados a este artigo. Esses relatórios contêm contramedidas adicionais do ENS que foram demonstradas para disparar contra o comportamento conhecido do ataque.
NOTA: Antes de implementar as recomendações, você deve testar as regras completamente. Testes minuciosos garantem a integridade da regra. Ele também garante que nenhum aplicativo legítimo, desenvolvido internamente ou, de outra forma, seja considerado malicioso e impedido de funcionar em seu ambiente de produção. As regras sugeridas podem ser definidas no modo somente de relatório para fins de teste para verificar se elas causam qualquer conflito em seu ambiente. Depois de determinar que as regras não bloqueiam nenhuma atividade de aplicativos legítimos ou que criaram exclusões necessárias, você pode definir as regras a serem bloqueadas e aplicar essas configurações a todos os sistemas relevantes.
MVISION EDR:
Uma pesquisa em tempo real de selecionados
IOCs o pode ser feito com uma pesquisa, conforme descrito abaixo:
HostInfo and Files name, full_name, create_user_name, sha1, md5, sha256 where Files sha256 equals "d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e" or Files sha256 equals "8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd"