Consulta técnica sobre FortiEDR
Descripción
Este artículo describe cómo FortiEDR bloquea de forma nativa el ataque del ransomware DearCry.
DearCry, o DoejoCrypt, se instala en ataques operados por humanos que utilizan las vulnerabilidades del servidor MS.Exchange.
Estas son las etapas de ejecución observadas en FortiEDR.
Pre-ejecución:
Una vez ejecutados los bloques FortiEDR:
Reglas activadas:
Terminación del proceso:
Post-ejecución:
Una vez que se ejecuta con las políticas de ejecución establecidas en simulación, FortiEDR bloquea el intento de cifrar los archivos, comenzando con desktop.ini con la extensión de .CRYPT:
Reglas activadas:
Creación de servicio bloqueada:
Información Adicional:
Un ejemplo de hash SHA256 asociado con DearCry:
e044d9f2d0f1260c3f4a543a1e67f33fcac265be114a1b135fd575b860d2b8c6
Para obtener más información sobre este ataque de ransomware, consulte el siguiente Informe de señal de amenazas de FortiGuard:
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!