Petya勒索病毒是什么(2)
Petya勒索病毒建議防護策略
1.不要輕易點擊不明附件,尤其是rtf、doc等格式文件。
2.內網中存在使用相同賬號、密碼情況的機器請盡快修改密碼,未開機的電腦請確認口令修改完畢、補丁安裝完成后再進行開機操作。
3.更新操作系統補丁(MS)
補丁來源:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4.更新Microsoft Office/WordPad遠程執行代碼漏洞(CVE-2017-0199)
補丁來源:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5.禁用WMI服務
安裝安全狗服務器安全相關產品并使用安全狗云安全服務可以抵御該安全風險。
三、病毒分析
根據目前的情況分析,本次病毒進行攻擊的流程為
1.通過cve-2017-0199漏洞投放釣魚郵件。
2.閱讀釣魚郵件后觸發漏洞并釋放病毒母體。
3.利用MS17-010漏洞,系統弱口令進行傳播(具備一定的域內口令提取能力(類似mimikatz))
4.勒索模塊會遍歷除c:\windows目錄外的其他目錄及文件。并對指定后綴的文件內容進行加密。同時修改系統引導區,并添加定時任務,完成后會使用自帶的wevtutil工具進行日志清理,在一段時間后強制關閉機器,再次開機將會收到勒索提示。
這個加密流程與2016年起出現的Petya勒索病毒的流程相似,twitter上也有安全人員確認了二者的相似關系。但是不同的是,之前的Petya病毒要求訪問地址獲取解密密鑰,而此次爆發的病毒直接留下了一個Email郵箱作為聯系方式。
友情提醒:請用戶切勿點擊來源不明的郵件附件,并且及時打補丁修復“永恒之藍”漏洞
Petya勒索病毒事件分析
根據烏克蘭CERT官方消息,郵件附件是本次病毒攻擊的傳播源頭。病毒在運行之后,會枚舉內網電腦并嘗試使用SMB協議進行連接。同時病毒會修改系統引導區(MBR),當電腦重啟后,病毒會在操作系統運行之前先啟動。
這次攻擊是勒索病毒“必加”(Petya)的新變種。該變種疑似采用了郵件、下載器和蠕蟲的組合傳播方式。從推理分析來看,該病毒采用CVE-2017-0199漏洞的RTF格式附件進行郵件投放,之后釋放Downloader來獲取病毒母體,形成初始擴散節點,之后通過MS17-010(永恒之藍)漏洞和系統弱口令進行傳播。
同時根據初步分析,其可能具有感染域控制器后提取域內機器口令的能力,因此其對內網具有一定的穿透能力,對內網安全總體上比此前受到廣泛關注的魔窟(WannaCry)有更大的威脅,而多種傳播手段組合的模式必將成為勒索軟件傳播的常態模式。
目前為止國內暫無大面積感染跡象,安全狗將持續跟蹤本次事件動態,及時將事件最新進展通知用戶,確保用戶不受勒索病毒影響。
Petya勒索病毒通過什么傳播的
據Twitter爆料,烏克蘭政府機構遭大規模攻擊,其中烏克蘭副的電腦均遭受攻擊,目前已經確認該病毒為Petya勒索病毒。騰訊安全反病毒實驗室旗下的哈勃分析系統對收集到的病毒樣本進行了分析,并已確認病毒樣本通過永恒之藍傳播。根據病毒的惡意行為,哈勃識別此病毒并判定為高度風險。
根據分析結果,病毒樣本運行之后,會枚舉內網中的電腦,并嘗試在445等端口使用SMB協議進行連接。
深入分析發現,病毒連接時使用的是“永恒之藍”(EternalBlue)漏洞,此漏洞在之前的WannaCry勒索病毒中也被使用,是造成WannaCry全球快速爆發的重要原因之一,此次Petya勒索病毒也借助此漏洞達到了快速傳播的目的。
同時,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows操作系統之前接管電腦,執行加密等惡意操作。
電腦重啟后,會顯示一個偽裝的界面,此界面實際上是病毒顯示的,界面上假稱正在進行磁盤掃描,實際上正在對磁盤數據進行加密操作。
當加密完成后,病毒才露出真正的嘴臉,要求受害者支付價值300美元的比特幣之后,才會回復解密密鑰。
這個加密流程與2016年起出現的Petya勒索病毒的流程相似,Twitter上也有安全人員確認了二者的相似關系。但是不同的是,之前的Petya病毒要求訪問暗網地址獲取解密密鑰,而此次爆發的病毒直接留下了一個Email郵箱作為聯系方式。
猜你感興趣: