卡巴斯基实验室发现“ExPetr”勒索软件：并非Petya变种

卡巴斯基实验室的遥测数据显示，截止到目前，全球有约2,000名用户遭到这种勒索软件的攻击。其中，俄罗斯和乌克兰的企业和组织遭受影响最为严重。此外，我们还在波兰、意大利、英国、德国、法国、美国以及其他多个国家记录到相关攻击。

这似乎是一种复杂攻击，因为其采用了多种感染和攻击途径。可以确认的是，网络罪犯在攻击中使用了修改版的EternalBlue和EternalRomance漏洞利用程序，用于在企业网络内进行传播。

卡巴斯基实验室将这种威胁检测为：

· UDS:DangerousObject.Multi.Generic

· Trojan-Ransom.Win32.ExPetr.a

· HEUR:Trojan-Ransom.Win32.ExPetr.gen

我们的行为检测引擎——系统监控组件将这种威胁检测为：

· PDM:Trojan.Win32.Generic

· PDM:Exploit.Win32.Generic

截止到目前，大多数情况下，卡巴斯基实验室的行为检测引擎——系统监控组件可以主动检测到这种威胁的初始感染途径。我们还在改进基于行为的反勒索软件检测功能，以便能够主动检测未来可能出现的各种版本。

卡巴斯基实验室的安全专家仍然继续分析这一威胁，判断是否可以解密攻击后被锁定的数据。我们的目标是尽快开发出一个解密工具。

我们建议所有企业更新自己的Windows操作系统：Windows XP和Windows 7用户可以通过安装MS17-010安全补丁来确保自身安全。

我们还建议所有的企业和组织进行数据备份。正确和及时的数据备份能够让您在遭遇数据丢失事故后，恢复原始文件。

我们建议卡巴斯基实验室企业客户采取以下措施：

· 检测所有推荐开启的保护机制是否已经开启;确保卡巴斯基安全网络(KSN)和系统监控组件(默认开启)没有被关闭。

· 作为一项辅助安全措施，请使用卡巴斯基网络安全解决方案中的应用启动控制组件(https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm)来阻止文件名为perfc.dat 的文件执行，同时拦截PSExec工具(Sysinternals Suite系统工具的一部分)的启动。

· 在卡巴斯基网络安全解决方案中的应用启动控制组件中，配置和启用默认拒绝模式，确保主动防御功能能够拦截这次攻击以及其他攻击。

如果您的设备上没有安装卡巴斯基实验室产品，建议您使用Windows操作系统自带的AppLocker(应用锁定)功能，拦截任何文件名包含“perfc.dat”的文件执行，同时还要拦截Sysinternals Suite中的PSExec工具启用。

卡巴斯基为您提供免费卡巴斯基企业和个人安全解决方案，抵御勒索软件攻击：https://www.kaspersky.com.cn/all_download