Petya勒索病毒建議防護(hù)策略

　　1.不要輕易點(diǎn)擊不明附件，尤其是rtf、doc等格式文件。

　　2.內(nèi)網(wǎng)中存在使用相同賬號(hào)、密碼情況的機(jī)器請(qǐng)盡快修改密碼，未開機(jī)的電腦請(qǐng)確認(rèn)口令修改完畢、補(bǔ)丁安裝完成后再進(jìn)行開機(jī)操作。

　　3.更新操作系統(tǒng)補(bǔ)丁(MS)

　　補(bǔ)丁來源：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

　　4.更新Microsoft Office/WordPad遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2017-0199)

　　補(bǔ)丁來源：https://technet.microsoft.com/zh-cn/office/mt465751.aspx

　　5.禁用WMI服務(wù)

　　安裝安全狗服務(wù)器安全相關(guān)產(chǎn)品并使用安全狗云安全服務(wù)可以抵御該安全風(fēng)險(xiǎn)。

　　三、病毒分析

　　根據(jù)目前的情況分析，本次病毒進(jìn)行攻擊的流程為

　　1.通過cve-2017-0199漏洞投放釣魚郵件。

　　2.閱讀釣魚郵件后觸發(fā)漏洞并釋放病毒母體。

　　3.利用MS17-010漏洞，系統(tǒng)弱口令進(jìn)行傳播(具備一定的域內(nèi)口令提取能力(類似mimikatz))

　　4.勒索模塊會(huì)遍歷除c:\windows目錄外的其他目錄及文件。并對(duì)指定后綴的文件內(nèi)容進(jìn)行加密。同時(shí)修改系統(tǒng)引導(dǎo)區(qū)，并添加定時(shí)任務(wù)，完成后會(huì)使用自帶的wevtutil工具進(jìn)行日志清理，在一段時(shí)間后強(qiáng)制關(guān)閉機(jī)器，再次開機(jī)將會(huì)收到勒索提示。

　　這個(gè)加密流程與2016年起出現(xiàn)的Petya勒索病毒的流程相似，twitter上也有安全人員確認(rèn)了二者的相似關(guān)系。但是不同的是，之前的Petya病毒要求訪問地址獲取解密密鑰，而此次爆發(fā)的病毒直接留下了一個(gè)Email郵箱作為聯(lián)系方式。

　　友情提醒：請(qǐng)用戶切勿點(diǎn)擊來源不明的郵件附件，并且及時(shí)打補(bǔ)丁修復(fù)“永恒之藍(lán)”漏洞

　　Petya勒索病毒事件分析

　　根據(jù)烏克蘭CERT官方消息，郵件附件是本次病毒攻擊的傳播源頭。病毒在運(yùn)行之后，會(huì)枚舉內(nèi)網(wǎng)電腦并嘗試使用SMB協(xié)議進(jìn)行連接。同時(shí)病毒會(huì)修改系統(tǒng)引導(dǎo)區(qū)(MBR)，當(dāng)電腦重啟后，病毒會(huì)在操作系統(tǒng)運(yùn)行之前先啟動(dòng)。

　　這次攻擊是勒索病毒“必加”(Petya)的新變種。該變種疑似采用了郵件、下載器和蠕蟲的組合傳播方式。從推理分析來看，該病毒采用CVE-2017-0199漏洞的RTF格式附件進(jìn)行郵件投放，之后釋放Downloader來獲取病毒母體，形成初始擴(kuò)散節(jié)點(diǎn)，之后通過MS17-010(永恒之藍(lán))漏洞和系統(tǒng)弱口令進(jìn)行傳播。

　　同時(shí)根據(jù)初步分析，其可能具有感染域控制器后提取域內(nèi)機(jī)器口令的能力，因此其對(duì)內(nèi)網(wǎng)具有一定的穿透能力，對(duì)內(nèi)網(wǎng)安全總體上比此前受到廣泛關(guān)注的魔窟(WannaCry)有更大的威脅，而多種傳播手段組合的模式必將成為勒索軟件傳播的常態(tài)模式。

　　目前為止國內(nèi)暫無大面積感染跡象，安全狗將持續(xù)跟蹤本次事件動(dòng)態(tài)，及時(shí)將事件最新進(jìn)展通知用戶，確保用戶不受勒索病毒影響。

　　Petya勒索病毒通過什么傳播的

　　據(jù)Twitter爆料，烏克蘭政府機(jī)構(gòu)遭大規(guī)模攻擊，其中烏克蘭副的電腦均遭受攻擊，目前已經(jīng)確認(rèn)該病毒為Petya勒索病毒。騰訊安全反病毒實(shí)驗(yàn)室旗下的哈勃分析系統(tǒng)對(duì)收集到的病毒樣本進(jìn)行了分析，并已確認(rèn)病毒樣本通過永恒之藍(lán)傳播。根據(jù)病毒的惡意行為，哈勃識(shí)別此病毒并判定為高度風(fēng)險(xiǎn)。

　　根據(jù)分析結(jié)果，病毒樣本運(yùn)行之后，會(huì)枚舉內(nèi)網(wǎng)中的電腦，并嘗試在445等端口使用SMB協(xié)議進(jìn)行連接。

　　深入分析發(fā)現(xiàn)，病毒連接時(shí)使用的是“永恒之藍(lán)”(EternalBlue)漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用，是造成WannaCry全球快速爆發(fā)的重要原因之一，此次Petya勒索病毒也借助此漏洞達(dá)到了快速傳播的目的。

　　同時(shí)，病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時(shí)，病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。

　　電腦重啟后，會(huì)顯示一個(gè)偽裝的界面，此界面實(shí)際上是病毒顯示的，界面上假稱正在進(jìn)行磁盤掃描，實(shí)際上正在對(duì)磁盤數(shù)據(jù)進(jìn)行加密操作。

　　當(dāng)加密完成后，病毒才露出真正的嘴臉，要求受害者支付價(jià)值300美元的比特幣之后，才會(huì)回復(fù)解密密鑰。

　　這個(gè)加密流程與2016年起出現(xiàn)的Petya勒索病毒的流程相似，Twitter上也有安全人員確認(rèn)了二者的相似關(guān)系。但是不同的是，之前的Petya病毒要求訪問暗網(wǎng)地址獲取解密密鑰，而此次爆發(fā)的病毒直接留下了一個(gè)Email郵箱作為聯(lián)系方式。

猜你感興趣：

1.如何防范petya勒索病毒

2.Petya勒索病毒是什么

3.如何防范petya勒索病毒

4.petya勒索病毒補(bǔ)丁下載地址

5.全新勒索病毒Petya是什么