Bad_Tuesday_Cryptor_SIEM

Клиент с MP SIEM версий 15.0 и выше, узнав о заражении своей инфраструктуры из сработавших сигнатур или корреляций, имеет шанс успеть прореагировать и произвести активные действия по снижению ущерба. Для этого предлагается воспользоваться функциональностью модуля сканера RemoteExecutor

1. Получив пакет со скриптами (antipetya.zip), оператор размещает его на машине с агентом, который он предполагает использовать и запоминает полный путь к архиву (например, "C:\pt\antipetya.zip")
2. При необходимости создаём УЗ типа "логин-пароль", соответствующую УЗ с правами локального администратора на целевой машине
3. Создаём новый профиль на базе существующего системного RemoteExecutor
4. В параметре профиля "Путь к файлу архива со скриптами" задаём путь до архива из п.1
5. Указываем УЗ из п.2 для транспорта WindowsAudit
6. Сохраняем профиль
7. Создаём новую задачу
8. Указываем в ней профиль из п.3-6
9. Указываем агент, с которым предполагается работать (соответствует п.1)
10. В полях целей указываем активы или адреса, для которых производится обработка
11. Запускаем задачу

Скрипты работают на всех версиях Powershell старше 2.0