Petya勒索病毒爆發(fā)是怎么回事
發(fā)布時(shí)間:2024-04-29 點(diǎn)擊:115
近日,外媒發(fā)布最新消息稱烏克蘭、俄羅斯、印度、西班牙、法國(guó)、英國(guó)以及歐洲多國(guó)正在遭遇petya勒索病毒襲擊,政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場(chǎng)都不同程度的受到了影響。那么,這是怎么回事呢?我們要如何防范該病毒呢?接下來(lái),就隨小編一起看看具體情況吧!
一、事件分析
根據(jù)烏克蘭cert官方消息,郵件附件是本次病毒攻擊的傳播源頭。病毒在運(yùn)行之后,會(huì)枚舉內(nèi)網(wǎng)電腦并嘗試使用smb協(xié)議進(jìn)行連接。同時(shí)病毒會(huì)修改系統(tǒng)引導(dǎo)區(qū)(mbr),當(dāng)電腦重啟后,病毒會(huì)在操作系統(tǒng)運(yùn)行之前先啟動(dòng)。
這次攻擊是勒索病毒“必加”(petya)的新變種。該變種疑似采用了郵件、下載器和蠕蟲(chóng)的組合傳播方式。從推理分析來(lái)看,該病毒采用cve-2017-0199漏洞的rtf格式附件進(jìn)行郵件投放,之后釋放downloader來(lái)獲取病毒母體,形成初始擴(kuò)散節(jié)點(diǎn),之后通過(guò)ms17-010(永恒之藍(lán))漏洞和系統(tǒng)弱口令進(jìn)行傳播。
同時(shí)根據(jù)初步分析,其可能具有感染域控制器后提取域內(nèi)機(jī)器口令的能力,因此其對(duì)內(nèi)網(wǎng)具有一定的穿透能力,對(duì)內(nèi)網(wǎng)安全總體上比此前受到廣泛關(guān)注的魔窟(wannacry)有更大的威脅,而多種傳播手段組合的模式必將成為勒索軟件傳播的常態(tài)模式。
目前為止國(guó)內(nèi)暫無(wú)大面積感染跡象,安全狗將持續(xù)跟蹤本次事件動(dòng)態(tài),及時(shí)將事件最新進(jìn)展通知用戶,確保用戶不受勒索病毒影響。
二、建議防護(hù)策略
1.不要輕易點(diǎn)擊不明附件,尤其是rtf、doc等格式文件。
2.內(nèi)網(wǎng)中存在使用相同賬號(hào)、密碼情況的機(jī)器請(qǐng)盡快修改密碼,未開(kāi)機(jī)的電腦請(qǐng)確認(rèn)口令修改完畢、補(bǔ)丁安裝完成后再進(jìn)行開(kāi)機(jī)操作。
3.更新操作系統(tǒng)補(bǔ)丁(ms)
補(bǔ)丁來(lái)源:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4.更新microsoft office/wordpad遠(yuǎn)程執(zhí)行代碼漏洞(cve-2017-0199)
補(bǔ)丁來(lái)源:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5.禁用wmi服務(wù)
安裝安全狗服務(wù)器安全相關(guān)產(chǎn)品并使用安全狗云安全服務(wù)可以抵御該安全風(fēng)險(xiǎn)。
三、病毒分析
根據(jù)目前的情況分析,本次病毒進(jìn)行攻擊的流程為
1.通過(guò)cve-2017-0199漏洞投放釣魚(yú)郵件。
2.閱讀釣魚(yú)郵件后觸發(fā)漏洞并釋放病毒母體。
3.利用ms17-010漏洞,系統(tǒng)弱口令進(jìn)行傳播(具備一定的域內(nèi)口令提取能力(類似mimikatz))
4.勒索模塊會(huì)遍歷除c:\\windows目錄外的其他目錄及文件。并對(duì)指定后綴的文件內(nèi)容進(jìn)行加密。同時(shí)修改系統(tǒng)引導(dǎo)區(qū),并添加定時(shí)任務(wù),完成后會(huì)使用自帶的wevtutil工具進(jìn)行日志清理,在一段時(shí)間后強(qiáng)制關(guān)閉機(jī)器,再次開(kāi)機(jī)將會(huì)收到勒索提示。
這個(gè)加密流程與2016年起出現(xiàn)的petya勒索病毒的流程相似,twitter上也有安全人員確認(rèn)了二者的相似關(guān)系。但是不同的是,之前的petya病毒要求訪問(wèn)地址獲取解密密鑰,而此次爆發(fā)的病毒直接留下了一個(gè)email郵箱作為聯(lián)系方式。
petya勒索病毒已經(jīng)爆發(fā),所以系統(tǒng)城小編建議大家一定不要點(diǎn)擊來(lái)源不明的郵件附件,并且及時(shí)打補(bǔ)丁修復(fù)“永恒之藍(lán)”漏洞。
相關(guān)教程:壞兔子勒索病毒win7爆音
阿里云服務(wù)器網(wǎng)站無(wú)法訪問(wèn)
我公司域名到期后沒(méi)有及時(shí)續(xù)費(fèi)
web服務(wù)器被配置為不列出此目錄的內(nèi)容怎么辦?
浙江服務(wù)器云租用
云服務(wù)器怎么使用方法
怎么把硬盤做到云服務(wù)器上
注冊(cè)一個(gè)中文域名需要多少錢
云服務(wù)器哪個(gè)下載速度快
一、事件分析
根據(jù)烏克蘭cert官方消息,郵件附件是本次病毒攻擊的傳播源頭。病毒在運(yùn)行之后,會(huì)枚舉內(nèi)網(wǎng)電腦并嘗試使用smb協(xié)議進(jìn)行連接。同時(shí)病毒會(huì)修改系統(tǒng)引導(dǎo)區(qū)(mbr),當(dāng)電腦重啟后,病毒會(huì)在操作系統(tǒng)運(yùn)行之前先啟動(dòng)。
這次攻擊是勒索病毒“必加”(petya)的新變種。該變種疑似采用了郵件、下載器和蠕蟲(chóng)的組合傳播方式。從推理分析來(lái)看,該病毒采用cve-2017-0199漏洞的rtf格式附件進(jìn)行郵件投放,之后釋放downloader來(lái)獲取病毒母體,形成初始擴(kuò)散節(jié)點(diǎn),之后通過(guò)ms17-010(永恒之藍(lán))漏洞和系統(tǒng)弱口令進(jìn)行傳播。
同時(shí)根據(jù)初步分析,其可能具有感染域控制器后提取域內(nèi)機(jī)器口令的能力,因此其對(duì)內(nèi)網(wǎng)具有一定的穿透能力,對(duì)內(nèi)網(wǎng)安全總體上比此前受到廣泛關(guān)注的魔窟(wannacry)有更大的威脅,而多種傳播手段組合的模式必將成為勒索軟件傳播的常態(tài)模式。
目前為止國(guó)內(nèi)暫無(wú)大面積感染跡象,安全狗將持續(xù)跟蹤本次事件動(dòng)態(tài),及時(shí)將事件最新進(jìn)展通知用戶,確保用戶不受勒索病毒影響。
二、建議防護(hù)策略
1.不要輕易點(diǎn)擊不明附件,尤其是rtf、doc等格式文件。
2.內(nèi)網(wǎng)中存在使用相同賬號(hào)、密碼情況的機(jī)器請(qǐng)盡快修改密碼,未開(kāi)機(jī)的電腦請(qǐng)確認(rèn)口令修改完畢、補(bǔ)丁安裝完成后再進(jìn)行開(kāi)機(jī)操作。
3.更新操作系統(tǒng)補(bǔ)丁(ms)
補(bǔ)丁來(lái)源:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4.更新microsoft office/wordpad遠(yuǎn)程執(zhí)行代碼漏洞(cve-2017-0199)
補(bǔ)丁來(lái)源:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5.禁用wmi服務(wù)
安裝安全狗服務(wù)器安全相關(guān)產(chǎn)品并使用安全狗云安全服務(wù)可以抵御該安全風(fēng)險(xiǎn)。
三、病毒分析
根據(jù)目前的情況分析,本次病毒進(jìn)行攻擊的流程為
1.通過(guò)cve-2017-0199漏洞投放釣魚(yú)郵件。
2.閱讀釣魚(yú)郵件后觸發(fā)漏洞并釋放病毒母體。
3.利用ms17-010漏洞,系統(tǒng)弱口令進(jìn)行傳播(具備一定的域內(nèi)口令提取能力(類似mimikatz))
4.勒索模塊會(huì)遍歷除c:\\windows目錄外的其他目錄及文件。并對(duì)指定后綴的文件內(nèi)容進(jìn)行加密。同時(shí)修改系統(tǒng)引導(dǎo)區(qū),并添加定時(shí)任務(wù),完成后會(huì)使用自帶的wevtutil工具進(jìn)行日志清理,在一段時(shí)間后強(qiáng)制關(guān)閉機(jī)器,再次開(kāi)機(jī)將會(huì)收到勒索提示。
這個(gè)加密流程與2016年起出現(xiàn)的petya勒索病毒的流程相似,twitter上也有安全人員確認(rèn)了二者的相似關(guān)系。但是不同的是,之前的petya病毒要求訪問(wèn)地址獲取解密密鑰,而此次爆發(fā)的病毒直接留下了一個(gè)email郵箱作為聯(lián)系方式。
petya勒索病毒已經(jīng)爆發(fā),所以系統(tǒng)城小編建議大家一定不要點(diǎn)擊來(lái)源不明的郵件附件,并且及時(shí)打補(bǔ)丁修復(fù)“永恒之藍(lán)”漏洞。
相關(guān)教程:壞兔子勒索病毒win7爆音
阿里云服務(wù)器網(wǎng)站無(wú)法訪問(wèn)
我公司域名到期后沒(méi)有及時(shí)續(xù)費(fèi)
web服務(wù)器被配置為不列出此目錄的內(nèi)容怎么辦?
浙江服務(wù)器云租用
云服務(wù)器怎么使用方法
怎么把硬盤做到云服務(wù)器上
注冊(cè)一個(gè)中文域名需要多少錢
云服務(wù)器哪個(gè)下載速度快