Petya 来袭,腾讯云快速响应提供安全解决方案

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家运营商、银行、ATM机、公司、机场等均受到影响,包括政府大楼的电脑甚至于乌克兰副总理的电脑都遭到感染,出现问题;另有消息称前切尔诺贝利核电厂的防控系统也受到影响,导致基于Windows系统的传感器失灵,科学家不得不手动监测辐射水平。

同时,在27号18点左右,腾讯云联合电脑管家发现相关样本在国内出现,腾讯云已第一时间启动用户防护引导,到目前为止,云上用户尚无感染案例,但建议没打补丁用户尽快打补丁避免感染风险。

经云鼎实验室确认,这是一种类似于“WannaCry”的勒索病毒新变种,传播方式与“WannaCry”类似,利用了EternalBlue(永恒之蓝)进行传播,同时还具备局域网传播手法。

腾讯云主机防护产品云镜已第一时间检测该蠕虫,云鼎实验室将持续关注该事件和病毒动态,第一时间更新相关信息,请及时关注,修复相关漏洞,避免遭受损失。

技术分析

通过对勒索病毒进行分析,我们发现Petya主要是以一个DLL文件的形式存在,通过投放手段远程侵入目标主机,一旦受到感染,那么病毒将执行加密和内网传播操作,主要有:

  1. 将自身投递到C:\windows目录下,然后通过rundll32.exe进行启动
  2. 一旦病毒启动功,将会进行文件加密,同时在系统中添加定时任务,系统将在一小时后重新启动,在系统重启后将看到以下的画面
  3. 在这过程中,病毒还会利用Mimikatz工具提取内存中的密码
  4. 病毒在获取密码后会扫描内网中的机器,对远程机器的445、139端口进行连接,尝试将自身和PSEXEC副本复制到远程机器的ADMIN$文件夹,然后通过通过PSEXEC和WMIC执行命令远程调用进行启动,以此进行传播
  5. 除此之外,病毒还会利用EternalBlue(永恒之蓝) 和 EternalRomance(永恒浪漫)进行传播

事件响应

在监测到事件后,腾讯云团队启动响应机制,3个小时内进行多维度的预警和防御:

  1. 确认腾讯云安全组对相关利用端口的封堵
  2. 封堵病毒使用的相关域名和IP
  3. 普查云上机器对病毒使用漏洞补丁的更新情况,提前做好防御预警
  4. 将相关样本入库检测
  5. 通知合作伙伴相关情报

在拿到Petya相关病毒样本后,我们第一时间对云镜后台检测策略进行了升级,对腾讯云上已经安装过云镜的用户进行了检测,未发现受本次病毒影响的用户。

云镜是腾讯云官网为用户提供的一款主机安全加固产品,可以帮助云上用户实时发现黑客入侵行为和漏洞风险,降低因黑客入侵导致的数据泄露风险。主要包括密码破解拦截、异地登录提醒、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。

目前,云鼎实验室与电脑管家依然通过全网布控监测病毒相关疫情,通过“云+端”的联动形成立体防御体系。

相关推荐

主机安全(云镜)

Petya 勒索病毒来袭,腾讯云用户安全指引

Petya 新型勒索病毒的加密原理分析

Petya 勒索软件新变种详细分析报告

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动...

28510
来自专栏FreeBuf

“中国”制造 | 悍马(Hummer)病毒家族技术分析报告

文章原创作者: 猎豹移动安全实验室 自2016年年初开始,猎豹移动安全实验室对印度top 10的手机样本进行了梳理,结果发现这些病毒样本存在家族关系,这些病毒样...

19310
来自专栏Dawnzhang的开发者手册

https与http的区别?

781
来自专栏程序员宝库

区块链现史诗级漏洞,可完全控制虚拟货币交易;Node.js 10.3.0;这张毕业照,只有一个女生!但她说IT男暖起来女孩都嫉妒

5 月 29 日,据 360 安全卫士官方发布,360 Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 E...

1043
来自专栏FreeBuf

这款奇葩的Android勒索软件竟然让受害者用语音说出解锁密码

这是一款针对国人的勒索软件,锁屏界面会显示勒索人的QQ,解锁的时候还用了百度TTL进行语音输入。 ? 近期,安全研究专家发现了一种新型的Android勒索软件。...

2037
来自专栏FreeBuf

2015 Android 恶意软件威胁报告(上)

执行摘要 勒索软件在过去几年中一直困扰着Windows PC,但最近,勒索软件的平台已经不局限于Windows系统,它的魔爪已经伸向了Linux和Androi...

2016
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(二)

2016年中国网络空间安全年报 日前,由安恒信息风暴中心策划编撰的《2016年中国网络空间安全年报》重磅发布。《2016年中国网络空间安全年报》旨在从安全大数...

3196
来自专栏区块链

网络安全:如何保护您的智能手机免受黑客攻击

白帽子部队 网络安全是21世纪人们无法忽视的问题。大多数人认为,黑客攻击的对象是政府,大公司,金融机构,知名人士。然而,我们每天都使用智能手机进行网上购物,转账...

34910
来自专栏安恒信息

主机卫士EDR的一次勒索病毒阻击战

摘要: 主机卫士EDR的一次勒索病毒阻击战 7月20日晚9点,安恒信息某客户在内网多台机器上发现几个进程导致CPU占用率极高,多家友商杀毒软件不断报警,但无法停...

891
来自专栏SDNLAB

FBI对俄罗斯黑客进行攻击,抓住VPNFilter恶意软件域

1688

扫码关注云+社区