北京时间2017年6月27日晚,乌克兰等欧洲多国遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度地受到了影响,中国暂未受到攻击,国内反病毒实验室对收集到的病毒样本进行分析,发现Petya勒索病毒和Wannacry勒索病毒一样都是通过永恒之蓝漏洞进行传播,Petya勒索病毒怎么防御就成为大家关注的热点,要避免被Petya勒索病毒攻击,大家还是需要及时更新系统漏洞补丁,并安装360等防毒软件。
相关教程:
永恒之蓝漏洞修复补丁下载地址
Win7快速关闭135,137,138,139,445端口预防比特币勒索病毒的方法
根据分析结果,病毒样本运行之后,会枚举内网中的电脑,并尝试在445等端口使用SMB协议进行连接。
深入分析发现,病毒连接时使用的是“永恒之蓝”(EternalBlue)漏洞,此漏洞在之前的WannaCry勒索病毒中也被使用,是造成WannaCry全球快速爆发的重要原因之一,此次Petya勒索病毒也借助此漏洞达到了快速传播的目的。
同时,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。
电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。
当加密完成后,病毒才露出真正的嘴脸,要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
这个加密流程与2016年起出现的Petya勒索病毒的流程相似,但是不同的是,之前的Petya病毒要求访问暗网地址获取解密密钥,而此次爆发的病毒直接留下了一个Email邮箱作为联系方式。
Petya勒索病毒攻击流程
1、通过cve-2017-0199漏洞投放钓鱼邮件。
2、阅读钓鱼邮件后触发漏洞并释放病毒母体。
3、利用MS17-010漏洞,系统弱口令进行传播(具备一定的域内口令提取能力(类似mimikatz))
4、勒索模块会遍历除C:\windows目录外的其他目录及文件。并对指定后缀的文件内容进行加密。同时修改系统引导区,并添加定时任务,完成后会使用自带的wevtutil工具进行日志清理,在一段时间后强制关闭机器,再次开机将会收到勒索提示。
建议防护策略
1、不要轻易点击不明附件,尤其是rtf、doc等格式文件。
2、内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。
3、更新操作系统补丁(MS)
补丁来源:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4、更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)
补丁来源:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5、禁用WMI服务
安装安全狗服务器安全相关产品并使用安全狗云安全服务可以抵御该安全风险。
以上就是Petya勒索病毒攻击过程以及避免被Petya勒索病毒攻击的介绍,大家一定要做好最新系统补丁的更新,防止被勒索病毒攻击。
相关阅读
电脑管家如何防御Petya勒索病毒|利用电脑管家防御新一轮Petya勒索病毒的方法
什么是Petya勒索病毒
Petya勒索病毒爆发是怎么回事
win10系统电脑如何防范乌克兰Petya“勒索病毒”
win10会中勒索病毒吗?windows10会不会被勒索病毒攻击
开机怎么防止被勒索病毒感染?360预防勒索病毒开机指南
勒索病毒攻击原理是什么|比特币勒索病毒原理介绍
如何预防Windows勒索病毒?防止感染ONION、WNCRY勒索病毒补丁下载
电脑如何预防坏兔子勒索病毒|电脑防范勒索病毒的方法
win10勒索病毒补丁号是多少?win10防勒索病毒补丁下载地址
Windows10如何开启预防勒索病毒功能|电脑安全开启防御勒索软件的方法
勒索病毒来自哪里|调查显示勒索病毒或来自朝鲜
win7系统如何处理勒索病毒|win7系统有效解决勒索病毒的方法
中了勒索病毒怎么重装系统|中勒索病毒重装系统教程
Wannacrypt勒索病毒加密原理分析|蠕虫勒索病毒文件可以恢复
win7勒索病毒补丁号是什么|勒索病毒win7官方补丁下载地址
xp勒索病毒补丁下载|勒索病毒xp紧急升级补丁下载地址
5.12勒索病毒谁做的?WannaCry/WCRY开发者发声明宣布对勒索病毒负责
勒索病毒有什么危害?Win7/Win10电脑中了勒索病毒的四大解决方法
PPT2021怎么设置文件保存格式 操作方法