Informamos que no dia de ontem ( 27 de Junho ) , recebemos a informação sobre uma nova onda de ataques de ransomware global. Nossas análises iniciais sugerem que não se trata de uma variante do ransomware Petya, como está sendo informado publicamente, na verdade trata-se de um novo ransomware não visto antes. Apesar de possuir sequências similares ao Petya, tem funcionalidades completamente distintas. Estamos chamando este novo ransomware de ExPetr.
As soluções da Kaspersky Lab detetam com sucesso o ataque através do componente System Watcher. Esta tecnología protege contra os ataques ransomware pelo monitoramento de mudanças no sistema e o bloqueio de qualquer tentativa destrutiva.
Recomendamos:
- Que todas as empresas atualizem seu software Windows: os usuários do Windows XP e Windows 7 podem se proteger instalando o patch de segurança MS17-010.
- Que todas as empresas tenham Um backup adequado e oportuno de seus dados pode ser usado para restaurar arquivos originais após um evento de perda de dados.
Aos clientes corporativos da Kaspersky Lab também recomendamos:
- Verifique se todos os mecanismos de proteção estão ativados conforme recomendado; E que os componentes KSN e System Watcher (que são ativados por padrão) não estão desativados.
- Como uma medida adicional para clientes corporativos é usar o Controle de Privilégio de Aplicativos para negar qualquer acesso (e, portanto, possibilidade de interação ou execução) para todos os grupos de aplicativos ao arquivo com o nome "perfc.dat" e o utilitário PSexec (parte do O Sysinternals Suite) (https://help.kaspersky.com/KESWin/10SP2/en-US/39265.htm e http://support.kaspersky.com/10905#block1)
- Você pode alternativamente usar o componente Controle de Inicialização de Aplicativos (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) do Kaspersky Endpoint Security para bloquear a execução do utilitário PSExec (parte do Sysinternals Suite), mas use o Controle de Privilégio de Aplicativos para bloquear o "perfc.dat".
- Configure e ative o modo de Recusa Padrão do componente Controle de Inicialização da Aplicação do Kaspersky Endpoint Security para garantir e reforçar a defesa proativa contra isso e outros ataques.
Se você não possui produtos da Kaspersky Lab no seu ambiente corporativo - use o recurso AppLocker do sistema operacional Windows para desativar a execução de qualquer arquivo que carregue o nome "perfc.dat", bem como o utilitário PSExec do Sysinternals Suite. E também pode baixar a a ferramenta anti-ransomware gratuita da Kaspersky Lab com tecnologia que permite detetar e bloquear ransomwares
