霸气侧福晋 / 居家生活 / 新勒索病毒petya袭击多国(附防范方法)

0 0

   

新勒索病毒petya袭击多国(附防范方法)

2017-06-28  霸气侧福晋

6月27日晚间时候(欧洲时间6月27日下午时分),新一轮的勒索病毒变种(本次名为Petya)再一次袭击并导致欧洲多国的多个组织、多家企业的电脑操作系统出现瘫痪。通过目前新闻判断乌克兰似乎是“Petya”受打击最严重的国家之一。 该国政府,一些国内银行和最大的电力公司回应表示,他们正在处理来自Petya感染的后果。

一、目前受影响情况:

丹麦运输和能源公司马士基在其网站上的一份声明中表示,由于网络攻击,我们可以确认马士基IT系统在多个站点和业务部门下降。但并未直接认定为Petya病毒攻击。

俄罗斯能源巨头Rosneft在Twitter上表示,正面临着“强大的黑客攻击”。但是两家公司都没有交付赎金。

乌克兰国有银行oschadbank的ATM机照片。

欧洲超市被petya攻击图片。

欧洲超市petya攻击图片。

美国跨国律师事务所DLA Piper

英国广告公司WPP

宾夕法尼亚医院手术被迫停止。

二、样本MD5

目前捕获样本MD5:

71b6a493388e7d0b40c83ce903bc6b04

e285b6ce047015943e685e6638bd837e

三、传播机制和危害

在汇集了多方威胁情报后,样本间直接关系仍不明确的情况下,经过对部分关键样本文件的跟进分析发现,这次攻击是勒索病毒“必加”(Petya)的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。

同时初步分析Petya捆绑了一个名为“LSADump”的工具,可以从Windows计算机和网络上的域控制器收集密码和凭证数据。

因此其对内网总体上比此前受到广泛关注的“魔窟”(WannaCry)有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。

新变异病毒(Petya)不仅只对文件进行加密,而且直接将整个硬盘加密、锁死,在出现以下界面并瘫痪后,其同时自动向局域网内部的其它服务器及终端进行传播。

初步研究表明Petya对以下文件将会进行加密:

Petya希望受害者通过Tor网络支付300美金赎金来解锁相关被加密文件,但目前大量证据表明即使支付赎金也无法进行解密文件。

Petya加密文件后的运行界面:

Petya传播机制:该样本会释放出名为dllhost.dat的文件,该文件是微软Sysinternals工具集中的PsExec程序。该程序可用于在远程机器上执行命令。控制端和被控制端的数据传输都是通过445(Windows 2000)/135或139端口进行(非Windows 2000)。

四、防范方法

1、 邮件防范

由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件的邮件,请勿打开;收到带不明链接的邮件,请勿点击链接。

2、更新操作系统补丁(MS)

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

3、更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

4、 禁用WMI服务

禁用操作方法:https://zhidao.baidu.com/question/91063891.html

5、关闭IPC共享以及防止采用空口令和弱口令

关闭IPC共享和及时加强操作系统口令。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    猜你喜欢

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多
    喜欢该文的人也喜欢 更多