Emsisoft z aktualizacją 2017.6 chroni przed backdoorami DoublePulsar

4 lipca, 2017

Producent Emsisoft udostępnił aktualizację swoich produktów do wersji 2017.6. Zmiany przynoszą poprawę bezpieczeństwa w kontekście wykrywania zestawu exploitów DoublePulsar oraz zaawansowanych powiadomień e-mail.

W atakach z użyciem ransomware WannaCry, do wtargnięcia do systemów wykorzystywano dwa narzędzia opracowane przez amerykańską agencję NSA – EternalBlue i DoublePulsar. Za ich pomocą zainfekowano ponad 200 000 komputerów z systemem Windows w 150 krajach w ciągu kilku dni.

EternalBlue jest stosowany w pierwszej fazie ataku – wykorzystuje lukę w obsłudze protokołu Microsoft Server Message Block 1.0 (SMBv1) pozwalającą na zdalne wykonanie dostarczonego kodu na komputerze ofiary. W ten sposób instalowana jest tylna furtka Double Pulsar, również z pakietu NSA. DoublePulsar, jest backdoorem i pełni funkcję downloadera złośliwego oprogramowania. Pozwala atakującym na zdalne załadowanie i uruchomienie malware na atakowanym komputerze, bez wiedzy ofiary.

Chociaż gorączka po atakach WannaCry opadła 6 tygodniu temu, to nadal obserwujemy skutki działania tego szkodnika. Kilka dni temu 55 kamer monitorujących ruch kołowy w mieście Victoria w Australii, dosięgnął radioaktywny opad po WannaCry. Takie przypadki będziemy jeszcze obserwować do czasu, aż podatne systemu zostaną wreszcie zaktualizowane oraz kiedy zmniejszy się rola botnetów w skanowaniu sieci i wyszukiwaniu tych podatności.

Ochrona przed DoublePulsar

Producent Emsisoft, aby zminimalizować skutki ataków, ulepszył moduł zaawansowanego blokowania zagrożeń na podstawie ich zachowań. Zmiany wprowadzone zostały we wszystkich produktach firmy Emsisoft.

Czytelnikom polecamy recenzję biznesowych rozwiązań firmy Emsisoft oraz ich domowego odpowiednika – Emsisoft Internet Security.

Tak zwany behawioralny bloker, po wykryciu exploitów wyłączy wszystkie procesy, które próbują wykorzystać exploit, po czym wyświetli powiadomienie:

double pulsar mitigatation en 2 — Komunikat detekcji exploita.

Inne zmiany

Dla osób, które zdalnie zarządzają komputerami, opracowano dokładniejszą konfigurację powiadomień e-mail:

pasted image at 2017 06 28 09 47 pm — Bardziej szczegółowe opcje w konfiguracji zostały wprowadzone na życzenie użytkowników.

Oprócz powyższych, producent wprowadził kilka innych zmian:

Dodano możliwość uruchomienia automatycznego, zaplanowanego skanowania, gdy użytkownik nie jest zalogowany do komputera.
Ulepszono obsługę aplikacji z Windows Store.
Poprawiono stabilność produktów biznesowych, w tym: usługę aktualizacji, problemy z połączeniem z klientem, problemy z raportowaniem.

Programy marki Emsisoft możecie wypróbować za darmo, pobierając 30-dniowe pełne wersje ze strony producenta: emsisoft.com

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.