Semalt Expert – Petya, NotPetya, GoldenEye 및 Petrwrp를 퇴치하는 방법?

Forcepoint Security Labs는이를 Petya 발발이라고 언급했지만 다른 공급 업체는 대체 단어와 추가 이름을 사용하고 있습니다. 다행스럽게도이 샘플은 덕 테스트를 완료했으며 이제 파일 확장자를 변경하지 않고도 디스크에서 파일을 암호화 할 수 있습니다. 마스터 부트 레코드를 암호화하고 컴퓨터 장치에서 그 영향을 확인할 수도 있습니다.

Petya의 몸값 요구 지불

Semalt 의 고객 성공 관리자 인 Igor Gamanenko는 대가를 지불하지 말 것을 제안합니다.

몸값을 해커 나 공격자에게 지불하는 대신 전자 메일 ID를 비활성화하는 것이 좋습니다. 그들의 지불 메커니즘은 일반적으로 연약하고 합법적이지 않습니다. BitCoin 지갑을 통해 몸값을 지불하려는 경우 공격자는 알리지 않고 계정에서 더 많은 돈을 훔칠 수 있습니다.

요즘에는 암호 해독 도구를 몇 달 안에 사용할 수 있다는 사실에 관계없이 암호화되지 않은 파일을 얻는 것이 매우 어려워졌습니다. 감염 벡터 및 보호 정책 Microsoft는 초기 감염 공급 업체에 다양한 악성 코드 및 비 법률 소프트웨어 업데이트가 있다고 주장합니다. 이러한 상황에서는 해당 공급 업체가 문제를 더 잘 감지하지 못할 수 있습니다.

Petya의 현재 반복은 이메일 보안 및 웹 보안 게이트웨이에 의해 저장된 통신 벡터를 피하는 것을 목표로합니다. 문제 해결 방법을 찾기 위해 여러 자격 증명을 사용하여 많은 샘플을 분석했습니다.

WMIC와 PSEXEC 명령의 조합은 SMBv1 익스플로잇보다 훨씬 좋습니다. 현재로서는 타사 네트워크를 신뢰하는 조직이 다른 조직의 규칙과 규정을 이해하는지 여부는 확실하지 않습니다.

따라서 Petya는 Forcepoint Security Labs 연구원들에게 놀라지 않을 것이라고 말할 수 있습니다. 2017 년 6 월부터 Forcepoint NGFW는 공격자와 해커의 SMB 악용 활용을 탐지하고 차단할 수 있습니다.

Deja vu : Petya Ransomware 및 SMB 전파 기능

Petya 발발은 2017 년 6 월 4 주차에 기록되었습니다. 다양한 국제 회사에 큰 영향을 미쳤으며 뉴스 웹 사이트는 효과가 오래 지속된다고 주장합니다. Forcepoint Security Labs는 바이러스 발생과 관련된 다양한 샘플을 분석하고 검토했습니다. Forcepoint Security Labs의 보고서가 완전히 준비되지 않은 것처럼 보이며 회사는 결론을 내릴 때까지 추가 시간이 필요합니다. 따라서 암호화 절차와 맬웨어 실행간에 상당한 지연이 발생합니다.

바이러스 및 맬웨어가 컴퓨터를 재부팅하면 최종 결과가 표시되기까지 며칠이 걸릴 수 있습니다.

결론과 권고

이 단계에서 발생하는 광범위한 영향에 대한 결론 및 평가는 어렵습니다. 그러나 자체 전파 랜섬웨어를 배포하려는 마지막 시도 인 것 같습니다. 현재 Forcepoint Security Labs는 가능한 위협에 대한 연구를 계속하는 것을 목표로합니다. 회사는 곧 최종 결과를 내놓을 수 있지만 상당한 시간이 필요합니다. Forcepoint Security Labs가 결과를 제시하면 SMBvi 익스플로잇의 사용이 공개됩니다. 컴퓨터 시스템에 보안 업데이트가 설치되어 있는지 확인하십시오. Microsoft 정책에 따라 클라이언트는 시스템 기능 및 성능에 부정적인 영향을 미치는 모든 Windows 시스템에서 SMBv1을 비활성화해야합니다.

mass gmail