Comment protéger votre entreprise contre les attaques ExPetr : recommandations pour les utilisateurs des solutions de sécurité pour les entreprises

 

ABC de la sécurité : Conseils de protection

 
 
 

Comment protéger votre entreprise contre les attaques ExPetr : recommandations pour les utilisateurs des solutions de sécurité pour les entreprises

Retour vers la section "Conseils de protection"
Dernière mise à jour : 26 nov. 2019 Article ID : 13753
 
 
 
 

Les experts de Kaspersky continuent d’enquêter la dernière vague d’infections par le ransomware qui a touché de multiples entreprises. Selon les informations préliminaires, ce ransomware n’appartient pas à la famille connue des ransomwares Petya bien que le code contient quelques fragments identiques. Il s’agit d’une nouvelle famille de logiciels malveillants qui diffèrent considérablement de Petya par leurs fonctionnalités. Kaspersky a appelé ce nouveau malware « ExPetr ».

À l'heure actuelle, les experts de Kaspersky supposent que ce malware a utilisé multiples vecteurs d'attaque. Il a été constaté que l’exploit EternalBlue modifié et l’exploit EternalRomance ont été utilisés pour la propagation du programme malveillant dans les réseaux d’entreprises.

Les produits de Kaspersky le détecte comme :

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

L’analyseur comportemental de la Surveillance du système (System Watcher) le détecte comme :

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

Dans la plupart des cas les produits de Kaspersky ont bloqué de manière proactive le vecteur primaire de l’attaque à l’aide de l’analyseur comportemental de la Surveillance du système (System Watcher). Nous travaillons à améliorer le mécanisme de détection des ransomwares à l’aide de l’analyse comportementale pour assurer la détection des modifications possibles de ce malware.

Nos experts étudient la possibilité de déchiffrer qui permettrait de déchiffrer les données.

Pour en savoir plus sur cette attaque, veuillez consulter le rapport de Kaspersky

Nous recommandons aux entreprises de prendre les mesures suivantes afin de minimiser le risque de l'infection :

  1. Installez le correctif officiel de Microsoft qui élimine la vulnérabilité utilisée pour l'attaque :
  2. Assurez-vous que tous les mécanismes de la protection sont activés, y compris les services en nuage de Kaspersky Security Network et la Surveillance du système (System Watcher).
  3. Mettez à jour les bases de données des applications de Kaspersky que vous utilisez.

En tant que mesure complémentaire, nous recommandons d’interdire l’accès aux fichiers de l’utilitaire PSexec du paquet Sysinternals et aux fichiers suivants pour tous les groupes d’applications à l’aide du module Contrôle de l'activité des applications :

  • %windir%\dllhost.dat
  • %windir%\psexesvc.exe
  • %windir%\perfc.dat
  • %appdata%\perfc.dat
  • %appdata%\dllhost.dat
  • *\psexec.exe
  • *\psexec64.exe
 
 
 
 
 

Configuration à distance via Kaspersky Security Center

 
 
 
 
 

Configuration locale

 
 
 
 

Si vous n’utilisez aucune solutions de sécurité de Kaspersky, nous recommandons d’interdire l’exécution des fichiers indiqués ci-dessus et de l’utilitaire PSExec du paquet Sysinternals en utilisant la fonctionnalité AppLocker de Windows.

 
 
 
 
Ces informations vous ont-elles été utiles ?
Oui Non
Merci
 

 
 

Dites-nous ce que nous pouvons faire pour améliorer l'article :

Les commentaires laissés ci-dessous ne sont utilisés qu’à des fins d’amélioration de l’article. Pour obtenir de l’aide avec nos produits, contactez le support technique de Kaspersky.

Envoyer Envoyer

Merci pour vos commentaires !

Vos suggestions nous sont précieuses et nous aideront à améliorer l'article.

Fermer