Petya勒索病毒预警通告

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。

同时,在27号18点左右,腾讯云鼎实验室发现相关样本在国内出现,腾讯云已第一时间启动用户防护引导,到目前为止,云上用户尚无感染案例,但建议没打补丁用户尽快打补丁避免感染风险。

经云鼎实验室确认,这是一种类似于“WannaCry”的勒索病毒新变种,传播方式与“WannaCry”类似,其利用EternalBlue(永恒之蓝)和OFFICE OLE机制漏洞(CVE-2017-0199)进行传播,同时还具备局域网传播手法。

腾讯云主机防护产品云镜已第一时间检测该蠕虫,云鼎实验室将持续关注该事件和病毒动态,第一时间更新相关信息,请及时关注,修复相关漏洞,避免遭受损失。

病毒特征

在中了该病毒后,电脑将会被锁住,出现以下勒索提示信息,并要求支付300美元的比特币才能解锁。

影响范围

通过分析,我们发现病毒采用多种感染方式,其中通过邮件投毒的方式有定向攻击的特性,在目标中毒后会在内网横向渗透,通过下载更多载体进行内网探测。

网络管理员可通过,监测相关域名/IP,拦截病毒下载,统计内网感染分布:

  • 84.200.16.242
  • 111.90.139.247
  • 185.165.29.78
  • 111.90.139.247
  • 95.141.115.108
  • COFFEINOFFICE.XYZ
  • french-cooking.com

网络管理员可通过如下关键HASH排查内网感染情况:

  • 415fe69bf32634ca98fa07633f4118e1
  • 0487382a4daf8eb9660f1c67e30f8b25
  • a1d5895f85751dfe67d19cccb51b051a
  • 71b6a493388e7d0b40c83ce903bc6b04

防护方案

经过确认,勒索病毒是利用EternalBlue进行传播,可以采用以下方案进行防护和查杀:

  1. 腾讯云用户请确保安装和开启云镜主机保护系统,云镜可对海量主机集中管理,进行补丁修复,病毒监测。
  2. 更新EternalBlue&CVE-2017-0199对应漏洞补丁 补丁下载地址: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
  3. 终端用户使用电脑管家进行查杀和防护 电脑管家已支持对EternalBlue的免疫和补丁修复,也支持对该病毒的查杀,可以直接开启电脑管家进行防护和查杀

原文发布于微信公众号 - 云鼎实验室(YunDingLab)

原文发表时间:2017-06-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

不仅美国有棱镜门 英国情报部门扫描32国端口

在棱镜门丑闻中,美国国安局等情报部门对各国公民乃至政要的通信进行监听的丑闻被曝光。实际上,英国、加拿大等其他西方国家的情报部门,也在对他国通过互联网手...

34150
来自专栏程序员宝库

号称自主国产浏览器,融资2.5亿!解压后竟然出现Chrome !

网友@Touko 把红芯浏览器 Windows 版的 exe 文件多次解压后,出现了广为人知的 Chrome,并且是 Chrome 49v。

13020
来自专栏域名资讯

英文“甜点”域名postre.com以1万美金价格交易

在域名市场,含义不错的域名往往是投资人和终端的抢手货,因此“含义为王”一度成为域名投资市场的口号。

236100
来自专栏企鹅号快讯

潜伏17年0day漏洞被发现威胁Office全版本 1123台利盟打印机在线暴露

2017.12.22 周五 安全资讯 资讯要点 网络安全公司 FireEye 和 Dragos 于上周报道称,新型恶意软件 Triton 和 Trisis通过破...

225100
来自专栏黑白安全

2018上半年勒索病毒情况分析

通过对勒索病毒的长期监测与跟踪分析,发现2018年上半年勒索病毒的攻击目标、传播方式、技术门槛、新家族/变种、赎金支付方式等方面均呈现出新的特点:

24030
来自专栏FreeBuf

境外“暗黑客栈”组织对国内企业高管发起APT攻击

当你启程前往伊萨卡,但愿你的道路漫长,充满奇迹,充满发现——卡瓦菲斯(希腊)。 以此纪念2015,即将逝去的中国威胁情报元年。 0x00摘要 Adobe于12月...

24450
来自专栏FreeBuf

解码针对工业工程领域的网络攻击 Operation Ghoul「食尸鬼行动」

? 1 介绍 卡巴斯基于2016年6月监测到了Operation Ghoul(食尸鬼行动)网络攻击,Operation Ghoul针对30多个国家的工业、制造...

22590
来自专栏域名资讯

上市企业4位数秒下的域名 如今9.9万元出售

据说*ST华泽(000693,SZ)其账上只剩下178元,官网因付不起运营费而遭到停摆,官网域名正被转卖。今1月21日,已被这名现持有人重新注册,正...

39060
来自专栏FreeBuf

专家预测第二波WannaCry攻击即将到来!

WannaCry的传播脚步今晨戛然而止 今天一大早,全网的WannaCry蠕虫病毒攻击突然减弱消退了!所有这一切功劳来自于英国研究人员@malwaretech,...

26050
来自专栏域名资讯

币类域名大热:“卢币”lubi.com域名六位数售出

这阵子,真可谓是币类域名大热!,前段时间就有传出bihu.com就以七位数成交!众多带“bi(币)”的域名都卖了高价

226100

扫码关注云+社区

领取腾讯云代金券