关于最新Petya勒索病毒变种,热点问题都在这里

北京时间2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇Petya勒索病毒最新变种袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

与5月爆发的WannaCry勒索病毒相比,Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、银行ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。

针对这次勒索病毒的相关情况,安小编采访了安恒信息研究院院长吴卓群。

Q:能否简单介绍下此次病毒的爆发情况和入侵原理?

A:此次Petya勒索病毒变种于北京时间6月27日首先在乌克兰爆发,超过12,500台机器受到威胁,64个国家受影响感染。事件源于乌克兰M.E.Doc公司更新进程(EzVit.exe)被劫持,由此执行了病毒程序,具体时间是北京时间27号的上午10:30。

病毒使用了Mimikatz相似功能的代码获取内存密码,然后通过执行PSEXEC或WMIC远程控制工具去尝试连接相同密码,并开放了TCP139/445端口的远程主机(其中psexec.exe非系统自带,由下载获取,下载文件名为:dllhost.dat)。病毒同时利用的漏洞有两个,主要是针对SMB协议的:EternalBlue(永恒之蓝)和EternalRomance(永恒浪漫),对应CVE ID是:CVE-2017-0144和CVE-2017-0145,即MS17-010安全更新补丁修补的漏洞。

病毒会创建关机任务计划,并改写MBR引导区,这些步骤操作成功后系统重启开始加密文件,并仿冒显示正在修复系统分区的熟悉界面。病毒使用AES-128加密文档类文件(.doc、.pdf等),并排除系统根目录,通常是C:\Windows目录。

Q:这次的勒索病毒玩了什么花招?

A:此次的Petya勒索病毒变种跟上次的WannaCry勒索病毒主要有2点不同:

1. 从行为上说,这次提示交赎金的方式更暴力,就是直接让机器重启后进不了系统,一直提示,而且提示还只是英文的,不像上次还有多国语言,包括中文。

2. 从传播方式上,有渗透的思路,包括利用微软的系统管理工具和系统自带命令,最主要的是还仿冒了微软的数字签名证书,这些都是黑客的思路,用来躲避杀毒软件报警,都用在了病毒传播上。

Q:勒索病毒这玩意儿有什么手段可以防治?

A:勒索病毒防不胜防,个人用户和企业单位都可以从这些方面加强来应对:

1. 重要的数据经常保持备份的习惯,现在的一个移动硬盘也不贵,这样即使中招损失也能减小。

2. 提高安全意识还是必要的,网络安全威胁不会自己灭绝,病毒、蠕虫跟害虫一样要解决,庄稼才会长得好,要有防治措施,电脑才会保持安全。

3. Windows系统基本每月都有安全更新补丁,除了及时打补丁,可以关注一些安全公司的公众号,了解互联网安全风险动态,以便随时能得到最新的漏洞信息通报等。

Q:这病毒背后有故事么,有没有办法解密?

A:目前拿到的两个样本,也是微软分析的那两个文件,从文件编译时间上看是同一天编译的,两个文件有一些小差异,时间都是6月18日,在爆发前一星期多,黑客还是有计划的行动。

在解密方面,上次病毒是在桌面上运行解密程序,在XP和Windows7的32位系统上还有可能解密,但这次直接在系统启动阶段加密,利用加密漏洞解密比较麻烦,安全研究人员还在尝试。

这次病毒出来后,各安全公司包括微软都在积极响应,出分析报告和解决方案,对于利用SMB这协议漏洞的病毒传播,防御措施主要就是6字真言:“封端口打补丁”,同时病毒本身带的开关机制也可以利用。

在这次病毒爆发的早期,安恒信息也及时向客户推送了威胁预警和分析报告,同时我们在一些乌克兰语的网站上看到一些分析报告里面,提到这次病毒利用了Word文档的漏洞作为邮件附件传播。由于病毒样本下载地址有失效性问题,无法验证,所以现在基于最早来源有多种判断,但无论有没有利用Word文档漏洞,及时打好Office安全更新补丁总是没错的。

Q:对于类似事件,安恒信息有什么好的安全建议?

A:1. 应该长期关注、跟踪相关的网络安全事件,以便及时了解安全动态及相关问题解决方案。

2. 定期更新系统、软件补丁,防止恶意软件通过漏洞进行攻击。

3. 部署了安恒信息“明御APT攻击(网络战)预警平台”的客户可以加强关注平台上的预警信息。

4. 如果发生了类似安全事件,安恒信息可安排相关安全专家进行应急响应支撑,处理安全事件。

5. 网络安全没有百分之百的安全,如果您对您企业的信息安全有担心,不妨为您企业的网络安全购买一份保险。安恒信息近期和众安保险合作推出了“网络信息安全综合保险”,各企、事业单位可根据需求购买相应的保险进行风险转移。

- END -

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-06-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏吉浦迅科技

亲测一款能装Jetson TX2的小机箱

前天Lady发了一篇看老外如何给NVIDIA Jetson TX2装机壳,因为看到淘宝/京东 也正好有卖这款小机箱,所以Lady我就买了....

1554
来自专栏域名资讯

币类域名大热:“卢币”lubi.com域名六位数售出

这阵子,真可谓是币类域名大热!,前段时间就有传出bihu.com就以七位数成交!众多带“bi(币)”的域名都卖了高价

21910
来自专栏FreeBuf

揭秘密码黑市,你所不知道的地下交易

在这篇文章中,我们将跟大家讨论有关电子商务网站、银行网站、以及热门在线服务中用户被盗凭证的一些故事。并且一起来看一看,攻击者如何通过窃取用户密码来发大财… ? ...

2337
来自专栏域名资讯

上市企业4位数秒下的域名 如今9.9万元出售

据说*ST华泽(000693,SZ)其账上只剩下178元,官网因付不起运营费而遭到停摆,官网域名正被转卖。今1月21日,已被这名现持有人重新注册,正...

3656
来自专栏FreeBuf

Linux XOR DDoS僵尸网络发起强有力的DDoS攻击

Akamai的专家们发现Linux XOR DDoS僵尸网络,它是一个恶意的网络基础设施,可用于对几十个目标发起强有力的DDoS攻击。此外,它主要针对游戏领域和...

3625
来自专栏域名资讯

陆金所估值200亿 启用千万域名

IFR消息,陆金所计划2018年上半年在香港首次公开募股,融资规模30-50亿美元。陆金所的域名用的是极品单拼lu.com,传闻价值不低于8位数。据悉,早年陆金...

1130
来自专栏程序员宝库

号称自主国产浏览器,融资2.5亿!解压后竟然出现Chrome !

网友@Touko 把红芯浏览器 Windows 版的 exe 文件多次解压后,出现了广为人知的 Chrome,并且是 Chrome 49v。

1262
来自专栏FreeBuf

解码针对工业工程领域的网络攻击 Operation Ghoul「食尸鬼行动」

? 1 介绍 卡巴斯基于2016年6月监测到了Operation Ghoul(食尸鬼行动)网络攻击,Operation Ghoul针对30多个国家的工业、制造...

2169
来自专栏黑白安全

2018上半年勒索病毒情况分析

通过对勒索病毒的长期监测与跟踪分析,发现2018年上半年勒索病毒的攻击目标、传播方式、技术门槛、新家族/变种、赎金支付方式等方面均呈现出新的特点:

2303
来自专栏腾讯云安全的专栏

Petya 勒索病毒来袭,腾讯云用户安全指引

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。腾讯云联合腾讯电脑管家发现相关样本在国内...

3410

扫码关注云+社区

领取腾讯云代金券