6.28勒索新變異病毒Petya破解補(bǔ)丁,在昨天6月27日晚間時候(歐洲6月27日下午時分),新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導(dǎo)致歐洲多國的多個組織、多家企業(yè)的系統(tǒng)出現(xiàn)癱瘓。
6.28勒索新變異病毒Petya背景
在6月23號我們向您通報了有關(guān)“5.12WannaCry”勒索病毒新變種肆虐的消息之后(該次應(yīng)急通報的具體內(nèi)容請查看第7-10頁),在昨天6月27日晚間時候(歐洲6月27日下午時分),新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導(dǎo)致歐洲多國的多個組織、多家企業(yè)的系統(tǒng)出現(xiàn)癱瘓。
新變異病毒(Petya)不僅對文件進(jìn)行加密,而且直接將整個硬盤加密、鎖死,在出現(xiàn)以下界面并癱瘓后,其同時自動向局域網(wǎng)內(nèi)部的其它服務(wù)器及終端進(jìn)行傳播:
本次新一輪變種勒索病毒(Petya)攻擊的原理
經(jīng)普華永道網(wǎng)絡(luò)安全與隱私保護(hù)咨詢服務(wù)團(tuán)隊(duì)的分析,本次攻擊的病毒被黑客進(jìn)行了更新,除非防病毒軟件已經(jīng)進(jìn)行了特征識別并且用戶端已經(jīng)升級至最新版病毒庫,否則無法查殺該病毒,病毒在用戶點(diǎn)擊帶病毒的附件之后即可感染本地電腦并對全盤文件進(jìn)行加密,之后向局域網(wǎng)其它服務(wù)器及終端進(jìn)行自動傳播。
以上所述的Petya病毒攻擊及傳播原理,與“5.12WannaCry”以及“6.23勒索軟件新變種”病毒的攻擊及傳播原理一致,不同點(diǎn)在于:
1.感染并加密本地文件的病毒進(jìn)行了更新,殺毒軟件除非升級至最新版病毒庫,否則無法查殺及阻止其加密本機(jī)文件系統(tǒng);
2.“5.12WannaCry”及“6.23勒索軟件新變種”在傳播方面,分別利用了微軟Windows系統(tǒng)的一個或者若干個系統(tǒng)漏洞,而Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統(tǒng)漏洞,包括MS17-010(5.12WannaCry永恒之藍(lán)勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補(bǔ)丁對應(yīng)的多個系統(tǒng)漏洞進(jìn)行傳播。
3.本次新變異病毒(Petya)是直接將整個硬盤加密和鎖死,用戶重啟后直接進(jìn)入勒索界面,若不支付比特幣將無法進(jìn)入系統(tǒng)。
應(yīng)對建議
目前優(yōu)先處理步驟如下:
1、補(bǔ)丁修復(fù)(如已按我們之前的通報,升級所有補(bǔ)丁,則可略過此步驟)
2、殺毒軟件升級及監(jiān)控
3、提升用戶信息安全意識度
1.補(bǔ)丁修復(fù)
如前所述,本次Petya利用了“5.12WannaCry”及“6.23勒索軟件新變種”的所有漏洞,因此,補(bǔ)丁方面必須完成“5.12WannaCry”及“6.23勒索軟件新變種”對應(yīng)的所有補(bǔ)丁,包括:
(可聯(lián)系我們索取以上漏洞及補(bǔ)丁原文件)
廠商無補(bǔ)丁或無法補(bǔ)丁的修復(fù)建議:
端口限制:使用系統(tǒng)自帶的防火墻設(shè)置訪問規(guī)則,即使用系統(tǒng)自帶的防護(hù)墻,設(shè)置遠(yuǎn)程訪問端口137、139、445、3389的源IP:
3389端口設(shè)置:
Windows 2003:通過防火墻策略限制訪問源IP
Windows 2008:在組策略中關(guān)閉智能卡登錄功能:
組策略(gpedit.msc)-->管理模板-->Windows組件-->智能卡
2.殺毒軟件升級及監(jiān)控
聯(lián)系貴公司防病毒軟件解決方案供應(yīng)商,確認(rèn)其最新病毒庫已經(jīng)可以查殺Petya病毒;升級相應(yīng)病毒庫并推送至所有服務(wù)器及主機(jī)。
3.提升用戶信息安全意識度:
本次Petya病毒的感染源頭依然是通過電子郵件向用戶發(fā)送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開),所以提升用戶信息安全意識度是關(guān)鍵的應(yīng)對措施之一。
用戶下載文件包中如發(fā)現(xiàn)包含有異常的附件,則必須注意該附件的安全,在無法確定其安全性的前提下,提醒用戶不要打開。
建議進(jìn)一步加強(qiáng)對高管及用戶的信息安全意識度宣貫,并且需要結(jié)合最新的信息安全趨勢或者熱點(diǎn)問題進(jìn)行不同主題的宣貫,而且要持之以恒。
WannaCry勒索病毒攻擊者利用Windows系統(tǒng)默認(rèn)開放的445端口在企業(yè)內(nèi)網(wǎng)內(nèi)進(jìn)行病毒傳播與擴(kuò)散,并且更為嚴(yán)重的是,攻擊者不需要用戶進(jìn)行任何操作即可自行進(jìn)行病毒的感染與擴(kuò)散。感染后的設(shè)備上所有的文件都將會被加密,無法讀取或者修改,也即造成了整個系統(tǒng)的癱瘓:
在5月13號,普華永道網(wǎng)絡(luò)安全法及隱私保護(hù)咨詢服務(wù)團(tuán)隊(duì)向您做出了及時的通報,并提供了有關(guān)的應(yīng)對建議,同時協(xié)助許多客戶進(jìn)行了應(yīng)對操作(譬如立即修補(bǔ)有關(guān)系統(tǒng)補(bǔ)丁,如MS17-010補(bǔ)丁等)。
在6月13日,微軟發(fā)布了Windows系統(tǒng)的新漏洞通報(“CVE-2017-8543、CVE-2017-8464”),并且提供了有關(guān)的補(bǔ)丁。在昨天(6月22日),黑客利用微軟Windows系統(tǒng)的上述新漏洞,開發(fā)出新變種的勒索病毒,并在過去幾天向互聯(lián)網(wǎng)展開了初步攻擊,由于感染及傳播需要一定的時間,因此,攻擊效果集中于昨天出現(xiàn)。截至今日,主要受攻擊及影響的對象集中于工廠、酒店、醫(yī)院及零售行業(yè)。
本次新一輪變種勒索病毒攻擊的原理:
本次攻擊利用了微軟Windows系統(tǒng)的兩個新漏洞“CVE-2017-8543、CVE-2017-8464”,該病毒利用以下方式來攻擊并加密被攻擊對象系統(tǒng)中的文件:
1.利用Window Search(Windows Search的功能是為我們電腦中的文件、電子郵件和其他內(nèi)容提供內(nèi)容索引、屬性緩存和搜索結(jié)果,默認(rèn)的服務(wù)狀態(tài)是處于開啟的狀態(tài))漏洞來提高權(quán)限并遠(yuǎn)程執(zhí)行加密命令,從而達(dá)到對全盤文件進(jìn)行加密的結(jié)果;
2.自動創(chuàng)建Windows快捷方式LNK(.lnk),通過LNK來提高權(quán)限,并對文件進(jìn)行加密。
在加密過程中,全程都沒有任何彈框提示就直接加密文件或?qū)е码娔X藍(lán)屏(這是與5.12勒索病毒軟件不同的其中一個特點(diǎn))。
應(yīng)對建議
目前優(yōu)先處理步驟如下:
1、補(bǔ)丁修復(fù)
2、添加郵件網(wǎng)關(guān)黑名單
3、殺毒軟件升級及監(jiān)控
4、提升用戶信息安全意識度
1.補(bǔ)丁修復(fù):
目前微軟已發(fā)出補(bǔ)丁,下載地址如下:
https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
具體操作指南:
先打開https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms,會看到CVE-2017-8543、CVE-2017-8464,找到相應(yīng)版本的補(bǔ)丁進(jìn)行下載(目前XP、Window2003不受影響),并執(zhí)行相應(yīng)主機(jī)及個人電腦的補(bǔ)丁升級。
2.添加郵件網(wǎng)關(guān)文件黑名單
在原有的黑名單上,增加如下后綴:
.lnk
.link
3.殺毒軟件升級及監(jiān)控
3.1.病毒庫升級及推送至所有服務(wù)器及主機(jī);
3.2.殺毒軟件控制臺監(jiān)控:
查看殺毒軟件控制臺查看報警信息,如是否有入侵事件,如針對SMB攻擊(如SMB BoublePulsar ping、溢出攻擊),對已感染的進(jìn)行處理;
注:下面為某客戶受到攻擊時的異常事件日志信息,僅供參考:
本次新勒索病毒變種,雖然是利了微軟Windows系統(tǒng)的新系統(tǒng)漏洞,但其感染源頭依然是通過電子郵件向用戶發(fā)送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開),所以提升用戶信息安全意識度是關(guān)鍵的應(yīng)對措施之一。
用戶下載文件包中如發(fā)現(xiàn)包含有異常的附件(本次是.lnk/.link的文件),則必須注意該附件的安全,在無法確定其安全性的前提下,提醒用戶不要打開。
建議進(jìn)一步加強(qiáng)對高管及用戶的信息安全意識度宣貫,并且需要結(jié)合最新的信息安全趨勢或者熱點(diǎn)問題進(jìn)行不同主題的宣貫,而且要持之以恒。
Petya勒索病毒CVE-2017-0199漏洞補(bǔ)丁1.01 最新版
馬保國殺毒衛(wèi)士1.0綠色版
云南農(nóng)村信用網(wǎng)銀助手2.0.15.709官方版
AutoCAD Virus Cleaner(CAD殺毒軟件)1.62 綠色版
Avast Pro Antivirus18.5.2342 簡體中文高級版
瑞星之劍勒索病毒防御軟件1.0.0.68 綠色版
Xshell后門查殺工具1.0 免費(fèi)版
Allcry解密工具1.0.0.1 免費(fèi)版
Meltdown&Spectre檢測工具1.0.0.1 免費(fèi)版
小紅傘Avira Antivirus Pro 201815.0.36.200 中文授權(quán)版(附證書地址)
ESET工作站防護(hù)高級版6.6.2078.5中文正式版
3DMax病毒查殺腳本1.0 綠色免費(fèi)版
Max殺毒衛(wèi)士1.81 官方版
3dmax病毒清理大師1.0 官方版
電腦管家Globelmposter勒索病毒攔截查殺工具12.12 官方版
360 Skygofree惡意軟件查殺工具最新免費(fèi)版
360殺毒離線升級包171026安裝版最新版
ESET NOD32防病毒軟件簡體中文版v11.0.144.0正式版【附激活密鑰】
BadRabbit勒索病毒查殺工具360最新版
Bad Rabbit勒索病毒360防護(hù)版安全版
壞兔子Bad Rabbit勒索病毒查殺修復(fù)工具正式版
壞兔子(Bad Rabbit)病毒查殺軟件最新免費(fèi)版
金山毒霸電腦版15.2023.2.4.061900.1335 官方版
瑞星殺毒軟件V17官方版25.0.9.32 免費(fèi)版
江民速智版殺毒軟件V19免費(fèi)版
2020卡巴斯基反病毒軟件20.0.14.1085免費(fèi)版
火絨互聯(lián)網(wǎng)安全軟件5.0.25.8 官方版
金山毒霸木馬專殺工具11.4.6 最新官方版
360安全衛(wèi)士U盤病毒專殺工具2.1 免費(fèi)版
德國小紅傘殺毒軟件(Avira AntiVir Personal)2020免費(fèi)中文版
360殺毒正式版5.0.0.8160 官方版64位
U盤殺毒專家(USBKiller)3.22 官方單機(jī)版
大蜘蛛殺毒軟件(Dr.Web)12.0 官方最新版
熊貓燒香病毒專家V1.0 綠色中文版
u盤病毒專殺工具usbcleanerV6.0中文綠色免費(fèi)
srv病毒專殺工具(Symantec Ramnit Removal 
Linux版360安全衛(wèi)士3.0.0.71 官網(wǎng)正式版
360殺毒軟件7.0.0.1030 官方版【32&64】
arp病毒檢測工具(ARP Detect)v1.0 綠色版
360殺毒4.0.0.4033 單文件綠色版
mydocument病毒查殺軟件1.0 最新版