共计 1807 个字符,预计需要花费 5 分钟才能阅读完成。
北京时间 2017 年 6 月 27 日晚,据外媒消息,乌克兰等多国正在遭遇 Petya 新型勒索病毒袭击,政府、银行等重要系统受攻击影响。此次黑客使用的是 Petya新型 勒索病毒的变种 Petwarp,使用的攻击方式和 WannaCry 相同。现将有关情况通报如下:
一、基本情况
北京时间 2017 年 6 月 27 日晚,据外媒消息,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇 Petya 勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。
与 5 月爆发的 Wannacry 相比,Petya 勒索病毒变种的传播速度更快。它不仅使用了 NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。
在欧洲国家重灾区,新病毒变种的传播速度达到每 10 分钟感染 5000 余台电脑,多家运营商、石油公司、零售商、机场、ATM 机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。
据莫斯科的网络安全公司 Group-IB 透露,目前为止,仅俄罗斯和乌克兰两国就有 80 多家公司被 Petya 病毒感染.
360 首席安全工程师郑文彬介绍,Petya 勒索病毒最早出现在 2016 年初,以前主要利用电子邮件传播。最新爆发的类似 Petya 的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。
该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏 MBR,病毒会进一步加密文档、视频等磁盘文件。
它的勒索金额与此前 Wannacry 病毒完全一致,均为折合 300 美元的比特币。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有 10 笔赎金付款,其“吸金”速度完全超越了 Wannacry。
最新消息显示,由于病毒作者的勒索邮箱已经被封,现在交赎金也无法恢复系统。
通过对本次事件跟踪分析发现,攻击事件中的病毒属于 Petya 勒索者的变种 Petwrap,病毒使用 Microsoft Office/WordPad 远程执行代码漏洞(CVE -2017-0199)通过电子邮件进行传播,感染成功后利用永恒之蓝漏洞,在内网中寻找打开 445 端口的主机进行传播。
根据安全厂商卡巴斯基研究人员的统计分析,目前全球被感染的主要国家包括乌克兰、俄罗斯、波兰、意大利、德国和白俄罗斯。
二、处置建议 建议防护策略如下:
1. 不要轻易点击不明附件,尤其是 rtf、doc 等格式文件。
2. 内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。
3. 更新操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4. 更新 Microsoft Office/WordPad 远程执行代码漏洞(CVE -2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5. 禁用 WMI 服务:方法如下
1、打开我的电脑 — 控制面板。
2、控制面板 —- 管理工具。
3、管理工具 —- 服务。
4、找到 Windows Management Instrumentation 服务,右键点击属性。
5、启动类型右边的▼— 选择已禁用 —- 应用 — 确定。
第二页病毒详细分析
<55tr.com>page
病毒详细分析
一、背景介绍
新勒索病毒 petya 袭击多国,通过 EternalBlue(永恒之蓝)和 EternalRomance(永恒浪漫)漏洞传播。与 WannaCry 相比,该病毒会加密 NTFS 分区、覆盖 MBR、阻止机器正常启动,使计算机无法使用,影响更加严重。
加密时会伪装磁盘修复:
图:加密时伪装
加密后会显示如下勒索界面:
图:勒索信息
二、详细分析 攻击流程:
图:攻击流程
加密方式:
图:加密磁盘
启动后就会执行加密
图:重启机器
加密的文件类型
图:加密文件类型
传播方式:
病毒采用多种感染方式,主要通过邮件投毒的方式进行定向攻击,利用 EternalBlue(永恒之蓝)和 EternalRomance(永恒浪漫)漏洞在内网横向渗透。
图:漏洞利用
图:局域网传播
勒索信息:
作者邮箱和比特币钱包地址
图:作者邮箱和钱包地址
加密后的勒索信
图:勒索信
通过查看作者比特币钱包交易记录,发现已经有受害者向作者支付比特币
图:比特币钱包
