北京时间2017年6月27日晚,乌克兰银行等相关机构、政府首脑计算机遭到计算机病毒攻击。数小时后一波大规模勒索蠕虫病毒攻击席卷全球,多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。据国外网络安全公司透露,目前为止,仅俄罗斯和乌克兰两国就有80多家公司被该勒索病毒感染,西班牙、法国、英国、丹麦、印度等国均受影响,截止目前,国内已有用户中招。
病毒详情
根据勒索信息判断,该病毒为去年出现的新型勒索Petya的变种,该变种病毒还具备蠕虫传播特征,该病毒利用今年4月份曝出的Office 0day漏洞(CVE-2017-0199)通过恶意RTF文件进行钓鱼攻击,在通过RTF漏洞建立初始扩散节点后利用MS17-010(永恒之蓝)SMB漏洞感染局域网中存在MS17-010漏洞机器。
Petya和传统的勒索软件不同,不会对电脑中的每个文件都进行加密,Windows主机感染该病毒后,整个硬盘的MBR将会被覆盖,并导致系统崩溃蓝屏,而当用户重启计算机时,修改后的MBR会阻止Windows正常加载,转而显示攻击者的勒索信息,在支付赎金获得解密秘钥前,用户将无法正常启动主机,从而失去文件和计算机的访问权限。
防护方案
针对此次勒索病毒特征分析,捷普安全实验室提醒广大用户及时采取以下防护措施:
未感染客户
1.邮件防范
由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。收到含有不明附件的邮件,请勿轻易打开;收到含有不明链接的邮件,请勿轻易点击链接。
2.安装操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
3.安装Microsoft Office远程执行代码漏洞(CVE-2017-0199)补丁
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
4.禁用WMI服务
禁用操作方法:https://jingyan.baidu.com/article/e75057f2dca690ebc91a893d.html
5.更改空口令和弱口令
内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。
已感染客户
1.如无重要数据需要恢复,请彻底格式化后重新安装操作系统。
2.如已开启Windows文件备份功能,可尝试恢复备份;或等待后续可能出现解密工具。