回归最本质的信息安全

知道创宇权威解读Petya勒索病毒 专业防护建议看这里

2017年6月28日发布

62,456
0
5

导语:昨日晚间,一款名为“Petya”的新型变种勒索病毒席卷了欧洲,乌克兰、俄罗斯等国家均受影响,多家银行和公司,包括政府大楼的主机纷纷中招。

昨日晚间,一款名为“Petya”的新型变种勒索病毒席卷了欧洲,乌克兰、俄罗斯等国家均受影响,多家银行和公司,包括政府大楼的主机纷纷中招,无奈之下,多个重要信息系统的主机之后被关闭,使得部分服务被迫中断。据安全公司知道创宇获悉,我国国内也有企业感染了这一新型勒索病毒,可能的数量甚至达到了数以万计。

新勒索病毒传播机制更完善

“Petya”勒索病毒一旦被激活,将对用户主机硬盘生成新的主引导记录(MBR),随后添加定时重启任务,对磁盘进行加密,并试图进一步感染内网主机,定时任务重启过后系统将加载至勒索页面,使用户完全无法对主机进行任何操作。勒索信息显示,用户需向对方支付价值300美金的比特币。

勒索页面

“Petya”与上个月爆发的“WannaCry”类似,但又有不同之处,据知道创宇安全研究人员披露,此次爆发的“Petya”要更为复杂,其特点主要是采用了多种手段结合的方式实现入侵传播,而入侵的主要手段猜测是利用了Word的漏洞(CVE-2017-0199)进行摆渡,但具体样本需要进一步确认。

样本分析显示具有内网扩散性

同时“Petya”在内网传播上结合了更多的传播手段和技巧,其中“WannaCry”所利用的永恒之蓝漏洞(MS17-010)也被这次变种所利用,并且为了实现更大面积的扩散,样本分析发现该勒索病毒还调用了类似mimikatz黑客渗透工具以获取感染机器的用户及口令,从而进一步对内网进行渗透,如内网采用的是通用口令,其目的将会实现。

内网安全需进一步提高

从这次勒索病毒的特点来看,多种方式的结合攻击将是今后勒索攻击方式的趋势,甚至是基于APT手段攻击发起,再结合内网渗透与传统蠕虫手段进行进一步传播,这也导致了内网及隔离网络的被攻击可能性越来越大,内网的安全有必要上升到一个新的高度才能够应对防范。

好的一方面是,虽然这次病毒不排除大规模传播的可能性,但是刚刚经过了“WannaCry”的洗礼后,国内很多的单位在安全方面都有所加强,包括升级修复补丁,不过根据国外(乌克兰等)的情况来看,还是有不少内网隔离网络没有及时修复及防御漏洞,另外就算是及时安装了最新补丁,在安全意识上也还需要不断加强,如注意防范弱口令攻击等,因为在实际的渗透工作中弱口令传播是非常常见的。

如何开启应对防范措施?

最关键的,我们最先要做的就是最快速度的为系统打上补丁,这次勒索事件可能主要涉及这两个漏洞MS17-010,CVE-2017-0199,一个是微软系统漏洞,一个是微软办公软件Word的漏洞,其补丁下载地址如下:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

https://portal.msrc.microsoft.com/en-US/eula

有几点安全建议:

1、如果一定要用Windows系统的话,个人用户抛弃你的XP系统,服务器端请启用Server 2003以上版本;

2、开启自动更新,时刻保持系统安全性;

3、对任何邮件保持警惕性,不要轻易运行未知来源的任何附件;

4、再说一遍,重要数据做好日常备份,企业做好容灾机制;

5、针对此次勒索事件,请关闭主机的IPC共享、及禁用WMI服务。

如若转载,请注明原文地址: http://www.4hou.com/other/5945.html

点赞 5
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

知道创宇

知道创宇

国内最酷、最神秘的网络安全公司

发私信

发表评论