Cómo fortiedr bloquea los ataques del ransomware dearcry

Consulta técnica sobre FortiEDR

Descripción
Este artículo describe cómo FortiEDR bloquea de forma nativa el ataque del ransomware DearCry.

DearCry, o DoejoCrypt, se instala en ataques operados por humanos que utilizan las vulnerabilidades del servidor MS.Exchange.

Estas son las etapas de ejecución observadas en FortiEDR.

Pre-ejecución:
Una vez ejecutados los bloques FortiEDR:

Reglas activadas:
Terminación del proceso:


Post-ejecución:
Una vez que se ejecuta con las políticas de ejecución establecidas en simulación, FortiEDR bloquea el intento de cifrar los archivos, comenzando con desktop.ini con la extensión de .CRYPT:

Reglas activadas:

Creación de servicio bloqueada:





Información Adicional:

Un ejemplo de hash SHA256 asociado con DearCry:
e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6

Para obtener más información sobre este ataque de ransomware, consulte el siguiente Informe de señal de amenazas de FortiGuard:

Campañas que aprovechan vulnerabilidades recientes de Microsoft Exchange para instalar DoejoCrypt/DearCry Ransomw…

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *