应急指南-防范Petya勒索病毒

原创 时间 2017-06-28  追风小组 神月资讯

在2017年6月27日,神月信安追风小组关注到“WannaCry勒索软件并没有死亡,另一个大规模的勒索病毒正在全球范围内传播,俄罗斯、乌克兰、西班牙、法国、英国、印度和欧洲多国的政府、银行、企业、电力系统、通讯系统以及机场等多个关键基础设施。

0x01.病毒介绍

在2017年6月27日,神月信安追风小组关注到“WannaCry勒索软件并没有死亡,另一个大规模的勒索病毒正在全球范围内传播,俄罗斯、乌克兰、西班牙、法国、英国、印度和欧洲多国的政府、银行、企业、电力系统、通讯系统以及机场等多个关键基础设施遭到不同程度的计算机病毒攻击。”的相关信息。


微信图片_20170819021839.jpg

这款勒索病毒是今年三月份发现的“Petya”的新变种Petwarp代号为“必加”(Petya),该勒索病毒使用的传播方式与WannaCry(“想哭”)勒索病毒相同。先采用(CVE-2017-0199)RTF漏洞进行邮件钓鱼攻击,然后使用(MS17-010)SMB漏洞进行内网传播。这两种漏洞微软官方都有相关更新补丁。

Petya跟其他勒索病毒的加密方式不一样,它并不会逐个加密目标系统上的文件,相反,Petya会重新启动计算机并加密硬盘驱动器的主文件表(MFT),并使主引导记录MBR不可操作,通过占用物理磁盘上的文件名,大小和位置信息来限制对完整系统的访问。该勒索病毒用自己的恶意代码替代了计算机的MBR,让计算机不能正常启动,然后索取价值相当于300美元的比特币的赎金

勒索显示:

微信图片_20170819021847.jpg

加密:

微信图片_20170819021851.jpg

目前已经有不少受害者向比特币账户汇款,在此,建议受感染的用户不要支付赎金,因为传播Petya勒索病毒的黑客的电子邮件已被电子邮件提供商(Posteo)暂停使用,黑客的电子邮件地址是:wowsmith123456@posteo.net。

0x02.未感染防范措施

1、警惕未知邮件,不要轻易点击邮件中的附件,特别是rtf、doc等格式文件,再打开附件前,建议使用杀毒软件进行查杀;

2、内网中存在弱口令、空口令或密码相同的机器需要尽快更改密码;

3、临时关闭135端口;

4、禁用服务器的WMI服务;操作步骤如下:

①以管理员身份打开cmd命令符窗口,执行命令“sc config Winmgmt start= disabled”,该方法需要重启;

②【Win+R】快捷键打开运行窗口,输入services.msc,回车打开服务,停止Windows ManagementInstrumentation服务

微信图片_20170819021855.jpg


设置禁用:

微信图片_20170819021858.jpg

5、更新系统补丁,补丁下载地址:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

6、使用WannaCry勒索病毒防御工具(结合第五条使用较好),下载地址(使用浏览器打开):

https://pan.baidu.com/s/1gfrDPZ1

具体使用方法参考:

【紧急通告】拒绝勒索,防御病毒!

0x03.已感染措施

1、系统上若无重要文件,建议重装系统,然后更新补丁,禁用WMI服务,使用WannaCry勒索病毒防御工具进行防御;

2、系统上若有重要文件,在有开启自动镜像的前提下可以尝试恢复镜像;若对重要文件进行了备份,可以尝试重装系统;等待后面出现的解密工具。

0x04.安全建议

基于多年的安全从业经验,安全专家总结出多条安全建议:

1、离座锁屏,系统账号密码复杂性要达到8位数以上,包含数字、字母、特殊字符等;

2、漏洞及时修补,系统补丁、office办公软件、浏览器、flash等应该及时更新;

3、定时备份,对重要文件做好定时备份,可以考虑用两块移动硬盘做备份;

4、安装防病毒软件;

5、在公共场合,不要使用公共WiFi,如果使用公共WiFi,尽量不要进行敏感操作,如购物、转账,交流账号信息等。

安全是个动态的过程,理应时刻关注,保护资产不受损害。

0x05.联系我们

神月信安服务客户如需帮助请随时联系神月工程师,我们将通过远程或上门服务的方式帮助您把本次风险降到最低。

联系方式:020-22043501 分号:805

客服QQ:2956779298

邮箱:sun@yuesec.com


参考来源:

http://thehackernews.com/2017/06/petya-ransomware-attack.html

【安全资讯】永恒之石蠕虫病毒再袭

【紧急通告】拒绝勒索,防御病毒!

【紧急事件预警】电脑勒索病毒全球爆发!


<<上一篇 下一篇>>