امروز: سه شنبه، 4 مهر 1396

 

1. McAfee یک فایل Extra.DAT را برای پوشش دادن این تهدید منتشر کرده است.

2. McAfee همچنین برای این تهدید، در بخش اعتبار فایل اطلاعات تهدید جهانی شناسایی هایی ارایه کرده است

این تهدید، علائم زیر را نشان می دهد:

  • به نظر می رسد که روش انتشار این تهدید از طریق پروتکل دسکتاپ از راه دور (RDP) و/ یا پروتکل پیام سرور (SMB) باشد.
  • باج افزار ممکن است پیام زیر را در کامپیوتر قربانی نمایش دهد:

Repairing file system on C:

The type of the file system is NTFS.
One of your disks contains errors and needs to be repaired. This process may take several hours to complete. It is strongly recommended to let it complete.

WARNING: DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)

ترجمه متن پیام:

تعمیر فایل سیستم در :c

نوع فایل سیستم، NTFS است.

یکی از دیسکهای شما حاوی خطاهایی است و نیازمند تعمیر است. این فرایند ممکن است چندین ساعت طول بکشد تا تکمیل شود. به شدت توصیه می شود که اجازه دهید تا کامل شود.

هشدار: کامپیوتر خود را خاموش نکنید! اگر شما این فرآیند را از بین ببرید، تمام اطلاعات خود را از بین خواهید برد! لطفا اطمینان حاصل کنید که کابل قدرت شما در حال اجرا است!

  • پس از رمزگذاری، سیستم های تحت تاثیر ممکن است کاربر را به سرعت وادار به راه اندازی مجدد نمایند. پس از راه اندازی مجدد، یک صفحه باج گیری شبیه به مورد زیر نمایش داده می شود:
  • گستره­ای فرمت­های شناخته شده ای که در حال حاضر  تحت تاثیر این باج افزار هستند عبارتست از:

.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip


  • راه حل :
  • به عنوان یک اقدام پیشگیرانه اولویت دار، هر سیستم را با MS17-010 به روز رسانی کنید، البته اگر از قبل این پچ را نداشته باشد.
  • پوششNSP کمپانی McAfee برای باج افزار Petya:
  • امضاهای موجود:
  • 0x43c0bd00- NETBIOS-SS : اجرای کد از راه دور SMB MS17-010 (ابزار ورودی و باج افزار WannaCry)
  •  0x43c0b800- NETBIOS-SS: آسیب پذیری ویندوز SMBv1 مشابه نوع MID و FID (CVE-2017-0143)
  •  0x43c0b400- NETBIOS-SS: آسیب پذیری اجرای کد از راه دور ویندوز SMB (CVE-2017-0144)
  •  0x43c0b500- NETBIOS-SS: آسیب پذیری اجرای کد از راه دور ویندوز SMB (CVE-2017-0145)
  •  0x43c0b300- NETBIOS-SS: آسیب پذیری نوشتن خارج از محدوده مایکروسافت ویندوز SMB   (CVE-2017-0146)
  •  0x43c0b900- NETBIOS-SS: آسیب پذیری افشای اطلاعات ویندوز SMBv1 اطلاعات (CVE-2017-0147)
  •  0x451e3300- HTTP: آسیب پذیری اجرای کد دلخواه مایکروسافت آفیس OLE (CVE-2017-0199)
  • قوانین محافظت از دسترسی برای اسکن ویروس (VSE) و امنیت نهایی (ENS)
  •  
  • قوانین حفاظت دسترسی زیر برای VSE و ENS می تواند به مبارزه با تهدیدات کمک کند.
  • نکته: این قوانین حفاظت از دسترسی، نیاز به پیاده سازی Extra.DAT را بی پاسخ نمیگذارند. آنها برای کمک به مبارزه با تهدیدات در نظر گرفته شده اند، اما از تهدیدات در برابر ایجاد و اجرا شدن بر روی سیستم جلوگیری نخواهند کرد. این دو قانون حفاظت دسترسی، از ایجاد هر گونه وظایفی که توسط برنامه ریز ویندوز ایجاد می شود، جلوگیری می کند و از ایجاد برنامه کاربردی PSExec مایکروسافت نیز جلوگیری می کند. که این مورد، وظایف ویندوز و عملیات مربوط به PSExec که به طور خاص مربوط به نرم افزارهای مخرب نیستند را نیز شامل میشود. اطمینان حاصل کنید قبل از اجرای این قواعد، از هرگونه تاثیر بالقوه ای از دیدگاه عملیاتی خود مطلع شوید.

  • قوانین حفاظت دسترسی VSE
  • فرایندی که  شامل میشود: *
  • فرآیندی که حذف میشود:
  • فایل / پوشه که مسدود میشود: C: \ Windows \ System32 \ Tasks \ **
  • عملیات: ایجاد بلوک
  • نکته: این تهدید یک زمانبندی ویندوز ایجاد می کند که سیستم را وادار به راه اندازی مجدد می کند. این قانون از هر فرآیندی برای ایجاد زمان بندی ویندوز جلوگیری خواهد کرد اما از آلودگی جلوگیری نخواهد کرد. سیستم های آلوده که به هر دلیلی راه اندازی مجدد شده اند، از این قانون سودی نخواهند برد.
  • فرایندی که  شامل میشود: *
  • فرآیندی که حذف میشود:
  • فایل / پوشه که مسدود میشود: **\PSEXESVC.EXE
  • عملیات: ایجاد بلوک
  • نکته: این کار باعث جلوگیری از ایجاد یک پروسه PSExec Technet می شود. جلوگیری از ایجاد این فایل می تواند به جلوگیری از تکرار PSExec کمک کند، جزء مورد استفاده در تکرار بارگیری بدافزار کمک کند. این امر مانع می شود که مدیر هر کپی جدیدی از PSExec را در سیستم هایی که مشمول این قانون، ذخیره کند.

  • قوانین حفاظت از دسترسی ENS 
  • - یک قانون جدید با وضعیت ورودی "Include" و با استفاده از * برای نام فایل یا مسیر ایجاد کنید.
  • - یک زیر قانون از نوع "Files"  و برای هدفی که شامل C: \ Windows \ System32 \ Tasks \ ** میشود، ایجاد کنید.
  • - عملی به منظور جلوگیری از ایجاد انتخاب کنید.
  • - یک قانون جدید با وضعیت ورودی "Include" و با استفاده از * برای نام فایل یا مسیر ایجاد کنید.
  • - یک زیر قانون از نوع "Files"  و برای هدفی که شامل **\PSEXESVC.EXEمیشود، ایجاد کنید.
  • - عملی برای جلوگیری از ایجاد، انتخاب کنید.

ارسال نظر

ارسال نظر

عکس خوانده نمی شود