Ultimamente o Powershell tem sido uma das ferramentas escolhidas para distribuição de malware - Essa onda tem crescido de acordo com o WhitePaper de dezembro de 2016. PowerShell threats surge: 95.4 percent of analyzed scripts were malicious. Frequentemente, os usuários finais são levados a abrir um anexo malicioso e se deparam com uma poderosa ferramenta voltada contra eles. Os payloads baixados pelo Powershell são na maioria Ransomware. Uma vez baixado e executado:
***** YOUR FILES HAVE BEING ENCRYPTED *****
Agora os dados da sua organização estão perdidos. A não ser que você tem um bom backup.
Application And Device Control: Uma excelente camada de defesa adicional
Utilizando o recurso de Application and Device Control do Symantec Endpoint Protection é possível previnir que anexos maliciosos do Word, Excel ou outro documento Office acessem o PoweShell ou cmd. Aqui está um guia ilustrado de como fazer a política:
Ou, Verifique a política em anexo que pode ser testada e implementada no seu ambiente. Recomendamos fortemente que ela seja testada em um ambiente controlado antes de ser aplicada em produção. Note que esta esta é uma camada extra de proteção. Isto reduzirá o risco de infecção de malware, mas, não pode garantir todas as possibilidades de perigo.
More MUST READ Articles and Documents
Hardening Your Environment Against Ransomware
https://www.symantec.com/connect/articles/hardening-your-environment-against-ransomware
Support Perspective: W97M.Downloader Battle Plan
https://www.symantec.com/connect/articles/support-perspective-w97mdownloader-battle-plan
REPORT: Organizations must respond to increasing threat of ransomware
Ransomware removal and protection with Symantec Endpoint Protection
https://support.symantec.com/en_US/article.HOWTO124710.html
Best Practices for Deploying Symantec Endpoint Protection's Application and Device Control Policies
http://www.symantec.com/docs/TECH145973
Muito obrigado ao mick2009 pela revisão deste artigo!