新型勒索病毒Petya全球爆發,捷潤數碼提醒用戶及時防范

北京時間2017年6月27日21時許,烏克蘭政府機構、銀行、交通、電信等國家重要基礎設施遭到計算機病毒Petya的攻擊。該病毒不同于傳統勒索軟件加密文件的行為,Petya是一個采用磁盤加密方式進行勒索的病毒。經安全機構初步判斷受影響最嚴重的國家是烏克蘭Pavlo Rozenko、國家儲蓄銀行、Privatbank等銀行、國家郵政、國家電信、市政地鐵、烏克蘭首都基輔的鮑里斯波爾機場、電力公司,部分國家也均受到不同程度的影響,包括俄羅斯、西班牙、法國、英國、丹麥、印度、美國等國家。

新型勒索病毒Petya全球爆發,捷潤數碼提醒用戶及時防范

1.病毒分析

根據勒索信息判斷,該病毒為去年出現的新型勒索Petya的變種。該變種疑似采用了郵件、下載器和蠕蟲的組合傳播方式。從推理分析來看,該病毒采用CVE-2017-0199漏洞的RTF格式附件進行郵件投放,之后釋放Downloader來獲取病毒母體,形成初始擴散節點,之后通過MS17-010SMB漏洞和系統弱口令進行傳播。同時初步分析其可能具有感染域控制器后提取域內機器口令的能力。因此其對內網具有一定的穿透能力,對內網安全總體上比此前受到廣泛關注的WannaCry有更大的威脅,而多種傳播手段組合的模式必將成為勒索軟件傳播的常態模式。

Windows主機感染該病毒后,整個硬盤的MBR將會被覆蓋,并導致系統崩潰藍屏,而當用戶重啟計算機時,修改后的MBR會阻止Windows正常加載,而顯示攻擊者的勒索信息,在支付贖金獲得解密秘鑰前,用戶將無法正常啟動主機,從而失去文件和計算機的訪問權限。

2.影響范圍

(1)影響操作系統

WindowsXP及以上版本

(2)風險等級

風險評級為:危急

3.防范措施

(1)如未被感染

?郵件防范

由于此次Petya勒索軟件變種首次傳播通過郵件傳播,所以應警惕釣魚郵件。建議收到帶不明附件的郵件,請勿打開;收到帶不明鏈接的郵件,請勿點擊鏈接。

?更新操作系統補?。∕S)

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

?更新Microsoft Office/WordPad遠程執行代碼漏洞(CVE-2017-0199)補丁

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

?禁用WMI服務

禁用操作方法:https://zhidao.baidu.com/question/91063891.html

?更改空口令和弱口令

如操作系統存在空口令或弱口令的情況,請及時將口令更改為高強度的口令。

(二)如已被感染

?如無重要文件,建議重新安裝系統,更新補丁、禁用WMI服務、使用免疫工具進行免疫。

?有重要文件被加密,如已開啟Windows自動鏡像功能,可嘗試恢復鏡像;或等待后續可能出現解密工具。

鑒于事態緊急,西安捷潤安全服務團隊已啟動安全事件應急處置流程,并將持續跟蹤事態發展,為廣大用戶及時提供應急支持服務!


相關資訊

久久婷综合五月天啪网,chinese少妇性饥渴hdvideo,中文天堂最新版在线,AV无码制服丝袜国产日韩