企業和個人如何防禦Petya勒索病毒
與Wannacry勒索病毒技術同源(基於NSA的永恆之藍代碼)的Petya勒索病毒變種本周二在全球爆發,英國(WPP)、烏克蘭、波蘭、義大利、丹麥(Maersk)、俄羅斯(Rosnoft)美國(Merck)多家大型企業報告遭受病毒襲擊,其中重災區烏克蘭的政府、國有銀行、交通、能源等關鍵基礎設施和部門遭受襲擊,甚至烏克蘭總理的電腦都遭受攻擊。
Petya新變種簡介
該病毒為Petya勒索病毒變種。Petya勒索病毒變種中毒後會掃描內網的機器,通過永恆之藍漏洞自傳播到內網的機器,達到快速傳播的目的。
有國外安全研究人員認為,Petya勒索病毒變種會通過郵箱附件傳播,利用攜帶漏洞的DOC文檔進行攻擊。中毒後,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows操作系統之前接管電腦,執行加密等惡意操作。電腦重啟後,會顯示一個偽裝的界面,此界面實際上是病毒顯示的,界面上假稱正在進行磁碟掃描,實際上正在對磁碟數據進行加密操作。
當加密完成後,病毒要求受害者支付價值300美元的比特幣之後,才會回復解密密鑰。
傳播渠道分析
* 可能傳播渠道-郵箱傳播
根據烏克蘭CERT官方消息,郵件附件被認為該次病毒攻擊的傳播源頭,郵箱附件是一個DOC文檔,文檔通過漏洞CVE-2017-0199來觸發攻擊,電腦管家也溯源到了國內類似郵件攻擊最早發生在6月27日早上。在實際測試過程中,並沒有完整重現整個攻擊過程。
* 可能傳播渠道-MeDoc
很多安全研究機構認為,這次Petya的攻擊源是由於MeDoc軟體的更新服務被劫持導致。
已有27人向Petya攻擊者支付贖金
在受感染用戶支付贖金後,將比特幣錢包與個人ID發送至指定的Posteo郵件地址進行解密。截至北京時間2017年6月28日01:00,區塊鏈記錄顯示目標錢包
「1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX」已經完成了27筆交易售,收入2.9個比特幣,總金額約人民幣50000元。目前尚不清楚付款之後,受害者的系統是否已經得到成功解密。
受勒索病毒影響的企業
* 能源企業
Petya勒索軟體已經在過去幾小時內感染了俄羅斯國有石油巨頭Rosneft公司以及烏克蘭國家電力供應商Kyivenergo與Ukrenergo公司。
Kyivenergo公司新聞社確認稱,「我們受到攻擊,並在兩小時前被迫關閉了全部計算機。我們正在等待烏克蘭安全局(簡稱SBU)的許可以重新啟動這些計算設備。」
* 銀行與金融機構
根據各相關銀行發布的報告,本次受到Petya勒索軟體攻擊影響的包括烏克蘭國家銀行(簡稱NBU)、奧沙巴銀行以及其它多家企業。
烏克蘭最大的國有貸款機構之一 ——國家儲蓄銀行(Oschadbank)稱,部分銀行服務受到「黑客攻擊」影響,全國3650網點和2850 ATM受到影響,民眾無法取錢,但客戶數據目前尚且安全。
* 電信企業
Kyivstar、LifeCell以及Ukrtelecom三家烏克蘭電信運營商亦在最新一輪Petya攻擊當中受到影響。
* 其它企業
國際物流公司馬士基已經在其Twitter上確認稱,本輪最新Petya攻擊已經導致其位於多個地點及業務部門的IT系統被迫關閉。
該公司指出,「我們可以確認,目前馬士基公司旗下位於多個地點及業務部門的IT系統皆處於關閉狀態。我們目前正在對事態進行申報。保障員工安全、正常運營以及客戶業務是我們的首要職責。我們將在掌握更多信息時及時發布更新。」
此勒索軟體還影響到在採礦企業Evraz公司烏克蘭分公司下轄之多座工作站。
根據相關報告,在本輪攻擊中受損最為嚴重的包括烏克蘭當地地鐵以及位於基輔的鮑里斯皮爾機場。
* 政府
根據Twitter網友曬出的截圖顯示,稱目前烏克蘭所有政府機關的電腦都因病毒攻擊成黑屏狀態。
鼎源科技專家支招安全建議
1.限制管理員許可權。Petya勒索病毒的運行需要管理員許可權,企業網管可以通過嚴格審查限制管理員許可權的方式減少攻擊面,個人用戶可以考慮使用非管理員許可權的普通賬號登陸進行日常操作。
2.關閉系統崩潰重啟。Petya勒索病毒的「發病」需要系統重啟,因此想辦法避免系統重啟也能有效防禦Petya並爭取漏洞修補或者文件搶救時間。大多數Windows系統都被設置為崩潰自動重啟,用戶可以在系統中手關閉此設置。只要系統不重新啟動引導,病毒就沒有機會加密MFT主文件分區表,用戶就有機會備份磁碟中的文件(微軟官方教程)。
3.立刻安裝微軟針對SMB漏洞的MS17-010布丁。與防範Wannacry病毒一樣禁用SMBv1.
4.立刻警告並培訓終端用戶加強對釣魚郵件附件的防範。不要點擊未知鏈接和附件。這一條也許是最重要的。
5.立即更新殺毒軟體。目前主流殺毒軟體都已經發布了針對Petya的病毒樣本更新。
6.備份重要數據。重要文件進行本地磁碟冷存儲備份,以及雲存儲備份。
|參考資料:
https://www.easyaq.com/news/2003919487.shtml
http://www.freebuf.com/articles/system/138575.html
※Google Play被爆41款APP感染惡意軟體,7億用戶受影響
TAG:鼎源科技 |
※淺談WannaCry勒索病毒的分析及防禦
※PLOS Pathog:中國科學家揭示宿主抵禦EB病毒的防禦機制
※影響惡劣的GlobeImposter勒索攻擊應如何防禦?
※Akamai成功發現並防禦Memcached新型勒索攻擊
※Anitama新番前瞻 | 最強防禦
※Anitama新番前瞻 最強防禦
※DiskShadow使用大全 基於IOCs的防禦
※Bypass 護衛神SQL注入防禦
※《Science》人體「防禦」系統幫助細菌生長
※Immunity:新研究揭示人類的防禦機制和癌症的傳播機制
※Science最新揭秘:除了CRISPR,細菌體內還存在超10種免疫防禦系統
※世界最大戰鬥艙,總統級別防禦!Angelababy林更新都被嚇成表情包
※防禦Mimikatz攻擊的方法介紹
※PowerShell無文件持久化技術與常用的防禦繞過技術
※美國升級了愛國者Patriot防禦系統
※Nat Cell Biol:揭示Rspo3-Lgr5軸同時調節抗菌防禦和粘膜再生機制
※iPhone 5c是蘋果防禦之作 XR則是蘋果進攻之作
※INSComment:為什麼主動防禦對物聯網終端如此重要?
※如何防禦Node.js中的不安全跳轉
※iPhone 5c是蘋果防禦之作,XR則是蘋果進攻之作