您好,请登录或注册会员中心
网站首页 > 企业动态 > 行业动态

联成科技--“必加(Petya)”勒索病毒应急处理方案

2017-06-28 14:21:34 南京联成科技发展股份有限公司 阅读

1.事件概述

6月27日,欧洲多个国家爆发类似“永恒之蓝”(WannaCry)的敲诈者病毒。中毒电脑全部不能启动,开机显示磁盘被加密,解密需要支付价值300美元的比特币。技术分析发现,该病毒利用“永恒之蓝”高危漏洞传播,破坏硬盘主引导记录和文件分配表,导致系统不能启动、分区丢失。

目前,乌克兰银行等相关机构、政府首脑计算机已遭到计算机病毒的攻击。综合各方威胁情报后初步判断受影响最严重的国家是乌克兰(副总理PavloRozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo),其他部分国家均受到不同程度的影响,包括俄罗斯(俄罗斯石油公司(Rosneft))、西班牙、法国、英国、丹麦、印度、美国(律师事务所DLA Piper)等国家。

鉴于初始爆发地区的地缘敏感性、具备一定强度的扩散能力和所处的特殊攻击时点,这次事件不能完全排除是单纯经济目的的恶意代码攻击事件,亦不能直接判断是针对特定地区的定向攻击。我国在WannaCry应急工作中打下了良好基础,现阶段该病毒尚未在我国大面积传播,但其复合的传播手段具有较大安全风险。

同时提醒客户:鉴于样本会利用本机口令尝试登录其他计算机进行传播,因此进行包括口令强度在内的系统安全配置加固和及时的系统补丁策略,才可以较好的防御本病毒。

目前世界各地出现的勒索病毒案例已增加到了7.5万个,并仍在迅速蔓延中。



2. 传播机制

在汇集了多方威胁情报后,样本间直接的关系仍不明确的情况下,经过对部分关键样本文件的跟进分析发现,这次攻击是勒索病毒“必加”(Petya)新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。从推理分析来看,该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力,对内网安全总体上比此前受到广泛关注的WannaCry有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。


3. 影响范围

“必加Petya勒索

操作Windows XP 及以上版本。 

如已经针对“永恒之蓝”勒索病毒已经做过安全加固的用户不必过于恐慌,

原因在于:

1. 永恒之蓝相关漏洞的补丁,中国用户在一个月前爆发 WannaCry 勒索蠕 虫病毒时先后进行修补。


2. 国内安已内置 MBR 写保可疑序试篡改 主引导记录的行为均会被拦截。


3.  Petya 敲诈者病毒样本已被截获,目前多款安全软件均可查杀防御。

 

图片1.jpg


图片2.jpg

 

企业内需加安全内网补漏会比通用慢,系统复杂,系统管理员能力参差不齐,可能仍然存在未修补漏洞的系统。从而,内网用户仍有可能遭遇 Petya 敲诈者病毒攻击。


4.检测免疫

建议使用勒索免疫,可一检测修漏洞关闭高险服 包括精检测出 NSA 器库使用的洞是已经示用安装应的补 对无丁的统版工具够帮用户闭存高危险的服 务,从而对 NSA 客武攻击系统洞彻“免免疫工具下载地址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/PetyaFix_2_0_766_127.exe

 

 

5.事前解决方案

     用户如未被感染,可参考以下方式进行安全防护。


1.邮件防范由于此次“Petya软件种首传播件传播,所 应警惕鱼邮件。对收到不明件的件请打开收到不明 的邮件请勿点击链接。


2. 更新操作系统补丁

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx


3. 更新 Microsoft Office/WordPad 远程执行代码漏洞(CVE-2017-0199

补丁https://technet.microsoft.com/zhcn/office/mt465751.aspx 


4. 禁用 WMI 服务禁用操作方法:https://zhidao.baidu.com/question/91063891.html 


5. 更改空口令和弱口令

如操作统存空口或弱令的请及将口更改高强 口令。


6. 免疫工具使用腾讯提供的新型 Petya 勒索病毒的免疫工具。

下载地址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/PetyaFix_2_0_766_127.exe


6.事后解决方案

     用户如已被感染,可参考以下方式进行安全修复。


1.如无重要文件,建议重新安装系统,更新补丁、禁用 WMI 服务、使用免 疫工具进行免疫。


2.如有重要文件被加密,并已开启 Windows 自动镜像功能,可尝试恢复镜 像或等待后续可能出现解密工具。


 

7.总结

“必Petya东欧性的斯拉语系时其 作为一前苏的轻护卫的名恶意码从始就示出一 定的地缘“必Petya)病毒达成后果,勒索件中是为特殊 的。其将导致计算机系统不能进入正常的系统启动流程,其即可达成勒索目的, 其同样以作一种坏载于其密扇装成系统出问的磁盘 检查过此这社工以保其完加密业的而一其作为 破坏载来使同样以达和此在乌兰停尼攻事件破坏引 导记录致系不能举的样效事件发生特殊目前 并不能出本件是全以济勒为目恶意码攻事件结论还需要 更多进一步的分析。

“必Petya版本合手的传感染以看过邮 入到内部网络,在网内传播的方式,可能会带来比类似 WannaCry 蠕虫这种单纯 的扫描植方式严重的果。但时更得警醒“必Petya)所使 用的并 0DAY 甚至也非 1DAY 是陈的漏他传方式也 是利用类似弱口令/空口令这种基本的配置问题。这些问题再次说明,系统策略 加固和及时的补丁升级,是安全的必修手段。



>