关于最新Petya勒索病毒变种,热点问题都在这里
北京时间2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇Petya勒索病毒最新变种袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。
与5月爆发的WannaCry勒索病毒相比,Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、银行ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。
针对这次勒索病毒的相关情况,安小编采访了安恒信息研究院院长吴卓群。
Q:能否简单介绍下此次病毒的爆发情况和入侵原理?
A:此次Petya勒索病毒变种于北京时间6月27日首先在乌克兰爆发,超过12,500台机器受到威胁,64个国家受影响感染。事件源于乌克兰M.E.Doc公司更新进程(EzVit.exe)被劫持,由此执行了病毒程序,具体时间是北京时间27号的上午10:30。
病毒使用了Mimikatz相似功能的代码获取内存密码,然后通过执行PSEXEC或WMIC远程控制工具去尝试连接相同密码,并开放了TCP139/445端口的远程主机(其中psexec.exe非系统自带,由下载获取,下载文件名为:dllhost.dat)。病毒同时利用的漏洞有两个,主要是针对SMB协议的:EternalBlue(永恒之蓝)和EternalRomance(永恒浪漫),对应CVE ID是:CVE-2017-0144和CVE-2017-0145,即MS17-010安全更新补丁修补的漏洞。
病毒会创建关机任务计划,并改写MBR引导区,这些步骤操作成功后系统重启开始加密文件,并仿冒显示正在修复系统分区的熟悉界面。病毒使用AES-128加密文档类文件(.doc、.pdf等),并排除系统根目录,通常是C:\Windows目录。
Q:这次的勒索病毒玩了什么花招?
A:此次的Petya勒索病毒变种跟上次的WannaCry勒索病毒主要有2点不同:
1. 从行为上说,这次提示交赎金的方式更暴力,就是直接让机器重启后进不了系统,一直提示,而且提示还只是英文的,不像上次还有多国语言,包括中文。
2. 从传播方式上,有渗透的思路,包括利用微软的系统管理工具和系统自带命令,最主要的是还仿冒了微软的数字签名证书,这些都是黑客的思路,用来躲避杀毒软件报警,都用在了病毒传播上。
Q:勒索病毒这玩意儿有什么手段可以防治?
A:勒索病毒防不胜防,个人用户和企业单位都可以从这些方面加强来应对:
1. 重要的数据经常保持备份的习惯,现在的一个移动硬盘也不贵,这样即使中招损失也能减小。
2. 提高安全意识还是必要的,网络安全威胁不会自己灭绝,病毒、蠕虫跟害虫一样要解决,庄稼才会长得好,要有防治措施,电脑才会保持安全。
3. Windows系统基本每月都有安全更新补丁,除了及时打补丁,可以关注一些安全公司的公众号,了解互联网安全风险动态,以便随时能得到最新的漏洞信息通报等。
Q:这病毒背后有故事么,有没有办法解密?
A:目前拿到的两个样本,也是微软分析的那两个文件,从文件编译时间上看是同一天编译的,两个文件有一些小差异,时间都是6月18日,在爆发前一星期多,黑客还是有计划的行动。
在解密方面,上次病毒是在桌面上运行解密程序,在XP和Windows7的32位系统上还有可能解密,但这次直接在系统启动阶段加密,利用加密漏洞解密比较麻烦,安全研究人员还在尝试。
这次病毒出来后,各安全公司包括微软都在积极响应,出分析报告和解决方案,对于利用SMB这协议漏洞的病毒传播,防御措施主要就是6字真言:“封端口打补丁”,同时病毒本身带的开关机制也可以利用。
在这次病毒爆发的早期,安恒信息也及时向客户推送了威胁预警和分析报告,同时我们在一些乌克兰语的网站上看到一些分析报告里面,提到这次病毒利用了Word文档的漏洞作为邮件附件传播。由于病毒样本下载地址有失效性问题,无法验证,所以现在基于最早来源有多种判断,但无论有没有利用Word文档漏洞,及时打好Office安全更新补丁总是没错的。
Q:对于类似事件,安恒信息有什么好的安全建议?
A:1. 应该长期关注、跟踪相关的网络安全事件,以便及时了解安全动态及相关问题解决方案。
2. 定期更新系统、软件补丁,防止恶意软件通过漏洞进行攻击。
3. 部署了安恒信息“明御APT攻击(网络战)预警平台”的客户可以加强关注平台上的预警信息。
4. 如果发生了类似安全事件,安恒信息可安排相关安全专家进行应急响应支撑,处理安全事件。
5. 网络安全没有百分之百的安全,如果您对您企业的信息安全有担心,不妨为您企业的网络安全购买一份保险。安恒信息近期和众安保险合作推出了“网络信息安全综合保险”,各企、事业单位可根据需求购买相应的保险进行风险转移。
- END -