51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Petya勒索软件变种Nyetya全球爆发,思科Talos率先响应

作者:佚名
企业动态
自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya。目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息。

  勒索软件Nyetya概述

  基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播。与之前出现的WannaCry不同,此次的变种中没有包含外部扫描模块,而是利用了psexec管理工具在内网进行传播。

  目前还没有完全确定该勒索软件的传播源头和路线,基于目前的分析,我们认为这个勒索软件的传播和感染,很可能与乌克兰的一款被称为MeDoc的会计管理软件的升级更新系统有关。思科Talos还在持续分析该勒索软件的传播源头。

  思科Talos在今年4月份就发布了保护针对MS17-010攻击的Snort规则,对于此次发现的变种Talos已经将勒索软件的变种加入到了AMP(Advanced Malware Protection)的黑名单列表中。

  勒索软件Nyetya的主要功能

  思科Talos在被勒索软件感染的系统上,发现了一个名为Perfc.dat的文件,该文件的功能是进一步感染其他系统,它包含了一个还未被命名的模块,暂命名为#1,其功能是通过Windows API AdjustTokenPrivileges获取当前账号的管理员权限,一旦成功,该勒索软件将重写磁盘的启动分区记录MBR(Master Boot Record)。无论MBR重写成功与否,在完成感染一小时后,都将自动重启系统。

  在勒索软件散播过程中,利用了NetServerEnum遍历所有可见的主机,然后扫描所有开放了TCP 139端口的主机,并将这些主机加入到易感染主机列表中。

  一旦主机被感染后,勒索软件会使用以下三种方式进行传播:

  EternalBlue – 永恒之蓝,与WannCry相同的入侵方式。

  Psexec – Windows系统自带的管理工具。

  WMI - Windows Management Instrumentation,Windows系统自带的组件。

  以上方式被用于勒索软件安装和运行perfc.bat程序,进一步感染其他内网主机。

  利用当前用户的Window Token信息,在被感染的主机上psexec被用于运行下列指令来安装勒索软件(Talos还在分析获得Window Token的方式):

 

  利用当前账号的用户名和密码信息,WMI被用于执行下面命令,实现上述相同的功能(Talos还在分析获得用户的凭证信息的途径):

 

  思科发布最新防护规则

  目前思科已经能够提供对该勒索软件防护的产品包括:

 

  思科NGIPS/Snort Rules提供了下列Snort规则检测该勒索软件:

  42944 - OS-WINDOWS Microsoft Windows SMB remote code execution attempt

  42340 - OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt

  下列NGIPS/Snort Rules提供感染流量的检测告警:

  5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt

  1917 - INDICATOR-SCAN UPnP service discover attempt

  42231 - FILE-OFFICE RTF url moniker COM file download attempt

  5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt

  AMP发布了感染指数告警:

  W32.Ransomware.Nyetya.Talos

  SHA256哈希值:

  027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

  思科勒索软件防护促销包发布

  为了更好地帮助各行业用户应对后续可能发生的勒索软件攻击变种和升级危机,思科大中华区安全部门在中国大陆推出了勒索软件防护Starter  Bundle,整合了目前思科安全Firepower 2110、邮件安全设备C190、AMP高级恶意软件防护等产品,从Web和Email这两个勒索软件最重要的传播途径进行全面防护。

  在此Starter Bundle中,必选组件部分包括:

  Firepower 2110 --在互联网出口检测并阻挡恶意勒索软件的进入

  邮件安全网关C190 --检测并阻挡恶意勒索软件通过邮件的方式进入网络

  AMP End Point--安装在用户的终端的软件,阻挡勒索软件的恶意行为

  在此Starter Bundle中,选配组件部分包括:

  Stealthwatch--快速发现网络异常,定位受感染的主机

  高级安全服务--提供远程漏洞扫描和钓鱼软件模拟攻击测试的高级服务

  如欲了解思科的Starter Bundle详细信息和下单流程,请随时与思科销售团队联系。

  如欲了解最新思科勒索软件防御方案和优惠促销包,请点击

http://www.cisco.com/c/zh_cn/solutions/enterprise-networks/ransomware-defense/index.html

 

  

 

责任编辑:xiejuan 来源: 思科
思科勒索软件
相关推荐
思科Talos深度解析“WannaCry"勒索软件
据报道称,全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica、英国的国民保健署、以及美国的FedEx等组织纷纷中招。发起这一攻击的恶意软件是一种名为“WannaCry”的勒索软件变种。

2017-05-13 19:43:29

新型攻击接踵而来,思科Talos解析Jaff勒索软件
思科Talos持续监控电子邮件威胁环境,紧密跟踪出现的新威胁和现有威胁的变化。我们最近观察到几次大规模的电子邮件攻击活动,它们试图传播一种名为“Jaff”的全新勒索软件变种。有意思的是,我们在此次攻击活动中发现了几个曾在Dridex和Locky攻击活动中使用过的特征。我们在短期内观察到多项攻击活动,他们均大肆传播恶意垃圾电子邮件,每一封电子邮件均带...

2017-05-15 16:12:44

揭秘思科Talos ,全球领先的安全研究团队
作为全球领先的威胁情报智能研究分析团队,思科Talos通过分析恶意软件、漏洞、入侵行为以及最新趋势,提供业内最全面和主动的安全与威胁情报解决方案,并将其对威胁情况的洞察融入到思科所有的安全产品中,这为思科的安全研究和安全产品服务提供了强大的后盾支持,进而构成思科安全生态系统的坚实基础。

2017-09-12 16:05:00

Sophos关于Petya变种的媒体声明
使用SophosEndpointProtection产品的Sophos客户已经拥有防御这个新变种勒索软件的能力。SophosInterceptX的客户也已在这个新的勒索软件出现时先发制人主动获得保护,也不会有数据被加密。

2017-06-28 14:52:38

安全
勒索软件Cryptolocker变种感染群晖NAS
2014年肆虐互联网的勒索软件Cryptolocker变种正如雨后春笋般涌现。现在,Cryptolocker开始向群晖(Synology)网络存储器设备(NAS)发起了攻击。

2015-03-03 10:18:27

Petya勒索病毒安全预警通告
北京时间2017年6月27日晚,据外媒消息,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

2017-06-28 02:25:23

勒索软件攻击将在2021年爆发
事实证明,对于勒索软件的攻击者来说,COVID19在全球范围的流行是一个好消息,在未来的一年他们的攻击活动会更加的疯狂。

2021-01-30 10:33:45

勒索软件网络攻击网络安全
花式勒索,仅去年12月新增33款勒索软件变种
整个2016年,勒索软件呈现出集中的爆发态势。那么,到底爆发到了什么程度来看一下12月份的统计数据,相当令人震惊:整个12月份,出现了32个新勒索软件样本,并出现了33个勒索软件的新变种。

2017-01-15 23:32:18

新型Ryuk勒索软件变种具备自我传播能力
法国国家网络安全机构ANSSI的专家近日发现了一种新型Ryuk勒索软件变种,该变种增加了蠕虫的功能,可以在本地网络中传播。

2021-03-12 08:17:04

Ryuk勒索软件网络攻击
深入分析:Phobos勒索软件EKING变种样本
Phobos家族是最近出现的一种勒索软件,在2019年初首次被研究人员发现。

2020-10-22 10:08:04

Phobos勒索软件
思科遭遇勒索软件团伙的攻击
思科公司的Talos威胁情报团队发布了一份8110线路列表,显示了受到攻击的文件夹名称和可能泄露的文件。

2022-08-12 10:45:00

勒索软件思科
WannaCry勒索软件爆发三周年了
v2020年5月12日是WannaCry勒索软件攻击三周年,据估计,WannaCry攻击已经对全球150个国家地区的数十万个网络终端造成了影响,损失总额高达40亿美元。

2020-07-09 11:59:04

WannaCry勒索软件网络攻击
针对Linux的勒索软件木马现身,属于RansomEXX变种
近日卡巴斯基(Kaspersky)发现某已知勒索软件帮派部署了一种针对Linux的文件加密木马。

2020-11-12 06:01:52

Linux勒索软件木马
勒索软件Cryptolocker最新变种已波及群晖NAS设备
去年起肆虐互联网的恶意软件——臭名昭著的Cryptolocker——其最新变种已经如雨后春笋般不断冒出来。

2014-08-05 16:38:08

一大波勒索软件变种来袭 将加密用户文件勒索赎金
近日,亚信安全收到大量勒索软件新变种的感染报告。与以往的变种类似,此次发现的勒索软件会将自身伪装成邮件附件进行传播。病毒附件一旦被运行,用户计算机上的文件会被加密导致无法打开,同时还会对网络中可访问的网络共享文件进行加密。

2016-03-11 18:44:32

如何在勒索软件攻击爆发前发现“苗头”?
如果我们能够全面地查看前兆信息,就会有更大的机会及早发现勒索软件。以下是基于风险识别恶意软件前兆信息的几个步骤。

2022-04-08 13:07:33

勒索软件网络攻击黑客
LockBit 2.0勒索软件全球扩散
研究人员表示,LockBit勒索软件即服务(RaaS)团伙加大了针对性攻击力度,试图使用其恶意软件的2.0版针对智利、意大利、台湾和英国的公司。

2021-09-07 11:51:25

勒索软件恶意软件安全
勒索软件响应计划五步走
今年的威胁情报指数分解了有效勒索软件响应计划中的五个关键步骤。来看看IBM的三位安全专家在美国的场景的看法。

2024-04-01 13:31:43

Android勒索软件变种出新花样:具备语音识别功能
根据安全研究机构赛门铁克发布的最新公告显示,Android勒索软件变种出现了语音识别方式,最新Android.Lockdroid.E变体具备语音识别功能,通过使用语音识别来代替文本输入解锁码。

2017-02-27 21:37:49

Nokoyawa 勒索软件变种从公开源码中补充功能
近期发现的Nokoyawa变种,重用了大量公开源码来改进自身。本文将会介绍Nokoyawa勒索软件的及基本情况。

2022-05-31 12:31:38

勒索软件Nokoyawa网络攻击
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服