近日,外媒发布最新消息称乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。那么,这是怎么回事呢?我们要如何防范该病毒呢?接下来,就随小编一起看看具体情况吧!
一、事件分析
根据乌克兰CERT官方消息,邮件附件是本次病毒攻击的传播源头。病毒在运行之后,会枚举内网电脑并尝试使用SMB协议进行连接。同时病毒会修改系统引导区(MBR),当电脑重启后,病毒会在操作系统运行之前先启动。
这次攻击是勒索病毒“必加”(Petya)的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。从推理分析来看,该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。
同时根据初步分析,其可能具有感染域控制器后提取域内机器口令的能力,因此其对内网具有一定的穿透能力,对内网安全总体上比此前受到广泛关注的魔窟(WannaCry)有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。
目前为止国内暂无大面积感染迹象,安全狗将持续跟踪本次事件动态,及时将事件最新进展通知用户,确保用户不受勒索病毒影响。
二、建议防护策略
1.不要轻易点击不明附件,尤其是rtf、doc等格式文件。
2.内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。
3.更新操作系统补丁(MS)
补丁来源:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4.更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)
补丁来源:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5.禁用WMI服务
安装安全狗服务器安全相关产品并使用安全狗云安全服务可以抵御该安全风险。
三、病毒分析
根据目前的情况分析,本次病毒进行攻击的流程为
1.通过cve-2017-0199漏洞投放钓鱼邮件。
2.阅读钓鱼邮件后触发漏洞并释放病毒母体。
3.利用MS17-010漏洞,系统弱口令进行传播(具备一定的域内口令提取能力(类似mimikatz))
4.勒索模块会遍历除c:\windows目录外的其他目录及文件。并对指定后缀的文件内容进行加密。同时修改系统引导区,并添加定时任务,完成后会使用自带的wevtutil工具进行日志清理,在一段时间后强制关闭机器,再次开机将会收到勒索提示。
这个加密流程与2016年起出现的Petya勒索病毒的流程相似,twitter上也有安全人员确认了二者的相似关系。但是不同的是,之前的Petya病毒要求访问地址获取解密密钥,而此次爆发的病毒直接留下了一个Email邮箱作为联系方式。
Petya勒索病毒已经爆发,所以系统城小编建议大家一定不要点击来源不明的邮件附件,并且及时打补丁修复“永恒之蓝”漏洞。
相关阅读
什么是Petya勒索病毒
Petya勒索病毒怎么防御|如何避免被Petya勒索病毒攻击
电脑管家如何防御Petya勒索病毒|利用电脑管家防御新一轮Petya勒索病毒的方法
win10系统电脑如何防范乌克兰Petya“勒索病毒”
5.12勒索病毒谁做的?WannaCry/WCRY开发者发声明宣布对勒索病毒负责
勒索病毒攻击原理是什么|比特币勒索病毒原理介绍
win7勒索病毒补丁号是什么|勒索病毒win7官方补丁下载地址
win10勒索病毒补丁号是多少?win10防勒索病毒补丁下载地址
win10会中勒索病毒吗?windows10会不会被勒索病毒攻击
中了勒索病毒怎么重装系统|中勒索病毒重装系统教程
勒索病毒来自哪里|调查显示勒索病毒或来自朝鲜
开机怎么防止被勒索病毒感染?360预防勒索病毒开机指南
如何预防Windows勒索病毒?防止感染ONION、WNCRY勒索病毒补丁下载
Wannacrypt勒索病毒加密原理分析|蠕虫勒索病毒文件可以恢复
xp勒索病毒补丁下载|勒索病毒xp紧急升级补丁下载地址
电脑如何预防坏兔子勒索病毒|电脑防范勒索病毒的方法
勒索病毒有什么危害?Win7/Win10电脑中了勒索病毒的四大解决方法
win7系统如何处理勒索病毒|win7系统有效解决勒索病毒的方法
WannaCry勒索病毒有哪些危害
PPT2021怎么设置文件保存格式 操作方法