Schutz für Anwender von Unternehmenslösungen vor ExPetr-Angriffen

 

Sicherheits-ABC: Tipps zum Schutz

 
 
 

Schutz für Anwender von Unternehmenslösungen vor ExPetr-Angriffen

Zurück zu "Tipps zum Schutz"
Zuletzt aktualisiert: 5. Dezember 2019 Artikel ID: 13753
 
 
 
 

Die Experten von Kaspersky ermitteln weiter die jüngste Welle von Ransomware-Angriffe, von denen Unternehmen weltweit betroffen wurden. Nach Informationen, die uns vorliegen, gehört dieser Trojaner nicht zur bereits bekannten Ransomware-Familie Petya, obwohl er und Petya-Schadprogramme einige gemeinsame Zeile haben. In diesem Fall handelt es sich um eine neue Ransomware-Familie, die sich von Petya durch die Funktionalität unterscheidet. Kaspersky nannte die neue Ransomware ExPetr.

Momentan vermuten die Experten Kaspersky, dass dieses Schadprogramm mehrere Angriffsvektoren verwendet haben soll. Es steht fest, dass der modifizierte Exploit EternalBlue und der Exploit EternalRomance zur Verteilung in Unternehmensnetzwerken eingesetzt wurden.

Die Produkte von Kaspersky erkennen dieses Schadprogramm mit folgendem Befund:

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

Der Aktivitätsmonitor (System Watcher) erkennt dieses Schadprogramm anhand der Verhaltensanalyse mit folgendem Befund:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

In den meisten Fällen haben die Produkte von Kaspersky den ursprünglichen Angriffsvektor dieses Schadprogramms mithilfe der Verhaltensanalyse des Aktivitätsmonitors (System Watcher) erfolgreich proaktiv blockiert. Wir verbessern die Verhaltensanalyse, damit auch modifizierte Versionen dieser Ransomware erkannt werden können.

Unsere Experten prüfen, ob ein Hilfsprogramm zur Entschlüsselung betroffener Daten entwickelt werden kann.

Detaillierte Informationen über diese Angriffe finden Sie im Bericht von Kaspersky

Um Infektionsrisiken zu senken, empfehlen wir Unternehmen folgende Maßnahmen zu treffen:

  1. Installieren Sie den offiziellen Patch von Microsoft, der die Schwachstelle behebt.
  2. Prüfen Sie, dass alle Schutzmechanismen, die Verbindung zum Cloud-Dienst Kaspersky Security Network und der Aktivitätsmonitor (System Watcher) aktiviert sind.
  3. Aktualisieren Sie die Datenbanken aller Produkte von Kaspersky.

Als zusätzliche Schutzmaßnahme empfehlen wir, allen Anwendungen mithilfe der Komponente Aktivitätskontrolle für Programme den Zugriff auf  das Dienstprogramm PSexec im Paket Sysinternals und auf folgende Dateien zu verbieten:

  • %windir%\dllhost.dat
  • %windir%\psexesvc.exe
  • %windir%\perfc.dat
  • %appdata%\perfc.dat
  • %appdata%\dllhost.dat
  • *\psexec.exe
  • *\psexec64.exe
 
 
 
 
 

Einstellungen über das Kaspersky Security Center 10 anpassen

 
 
 
 
 

Einstellungen lokal anpassen

 
 
 
 

Wenn Sie keine Produkte von Kaspersky anwenden, empfehlen wir Ihnen, die Ausführung der oben genannten Dateien und des Hilfsprogramms PSExec aus dem Paket Sysinternals mithilfe des Windows-Dienstprogramms AppLocker verbieten.

 
 
 
 
Waren diese Informationen hilfreich?
Ja Nein
Danke
 

 
 

Wie können wir den Artikel verbessern?

Wir nutzen Ihr Feedback, nur um diesen Artikel zu verbessern. Wenn Sie Hilfe für unsere Produkte brauchen, wenden Sie sich an den technischen Support von Kaspersky.

Senden Senden

Danke für Ihr Feedback!

Ihre Vorschläge helfen uns dabei, den Artikel zu verbessern.

OK