Comment protéger votre entreprise contre les attaques ExPetr : recommandations pour les utilisateurs des solutions de sécurité pour les entreprises

 

 

Articles généraux: Articles communs

 
 
 

Comment protéger votre entreprise contre les attaques ExPetr : recommandations pour les utilisateurs des solutions de sécurité pour les entreprises

Retour vers la section "Articles communs"
2017 juin 29 Article ID: 13753
 
 
 
 

Les experts de Kaspersky Lab continuent d’enquêter la dernière vague d’infections par le ransomware qui a touché de multiples entreprises. Selon les informations préliminaires, ce ransomware n’appartient pas à la famille connue des ransomwares Petya bien que le code contient quelques fragments identiques. Il s’agit d’une nouvelle famille de logiciels malveillants qui diffèrent considérablement de Petya par leurs fonctionnalités. Kaspersky Lab a appelé ce nouveau malware « ExPetr ».

À l'heure actuelle, les experts de Kaspersky Lab supposent que ce malware a utilisé multiples vecteurs d'attaque. Il a été constaté que l’exploit EternalBlue modifié et l’exploit EternalRomance ont été utilisés pour la propagation du virus dans les réseaux d’entreprises.

Les produits de Kaspersky Lab le détecte comme :

  • UDS:DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR:Trojan-Ransom.Win32.ExPetr.gen

L’analyseur comportemental de la Surveillance du système (System Watcher) le détecte comme :

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

Dans la plupart des cas les produits de Kaspersky Lab ont bloqué de manière proactive le vecteur primaire de l’attaque à l’aide de l’analyseur comportemental de la Surveillance du système (System Watcher). Nous travaillons à améliorer le mécanisme de détection des ransomwares à l’aide de l’analyse comportementale pour assurer la détection des modifications possibles de ce malware.

Nos experts étudient la possibilité de déchiffrer qui permettrait de déchiffrer les données.

Pour en savoir plus sur cette attaque, veuillez consulter le rapport de Kaspersky Lab

Nous recommandons aux entreprises de prendre les mesures suivantes afin de minimiser le risque de l'infection :

  1. Installez le correctif officiel de Microsoft qui élimine la vulnérabilité utilisée pour l'attaque :
  2. Assurez-vous que tous les mécanismes de la protection sont activés, y compris les services en nuage de Kaspersky Security Network et la Surveillance du système (System Watcher).
  3. Mettez à jour les bases de données antivirus des applications de Kaspersky Lab que vous utilisez.

En tant que mesure complémentaire, nous recommandons d’interdire l’accès aux fichiers de l’utilitaire PSexec du paquet Sysinternals et aux fichiers suivants pour tous les groupes d’applications à l’aide du module Contrôle de l'activité des applications :

  • %windir%\dllhost.dat
  • %windir%\psexesvc.exe
  • %windir%\perfc.dat
  • %appdata%\perfc.dat
  • %appdata%\dllhost.dat
  • *\psexec.exe
  • *\psexec64.exe
 
 
 
 
 

Configuration à distance via Kaspersky Security Center

 
 
 
 
 

Configuration locale

 
 
 
 

Si vous n’utilisez aucune solutions de sécurité de Kaspersky Lab, nous recommandons d’interdire l’exécution des fichiers indiqués ci-dessus et de l’utilitaire PSExec du paquet Sysinternals en utilisant la fonctionnalité AppLocker de Windows.

 
 
 
 
Was this information helpful?
Yes No
 

 
 

Vos commentaires sur le site du Support Technique

Signalez-nous si vous n'avez pas trouvé des informations nécessaires ou laissez vos commentaires sur le site pour que nous puissions l'améliorer :

Envoyer mon avis sur le site Envoyer mon avis sur le site

Merci !

Nous vous remercions d'avoir pris
le temps de nous faire part de vos commentaires.
Nous les analyserons et utiliserons pour nous aider à
améliorer le site du Support Technique de Kaspersky Lab.