告警:勒索病毒Petya正袭击多个国家!如何破?这里有干货!

安全 应用安全
乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

[[195309]]

乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。乌克兰内政部官员Anton Gerashchenko在Facebook上写道,该入侵是“乌克兰历史上最大的一次”,其目标是“动摇不稳定的经济形势和公民意识”,尽管它被“伪装成勒索企图”。据爆料,其中乌克兰副总理的电脑亦遭受攻击。

先不管那些,怎么破?上干货!

根据研究发现,攻击事件中的病毒属于 Petya勒索者的变种 Petwrap,可能的传播渠道是:病毒使用 Microsoft Office/WordPad(RTF)远程执行代码漏洞(CVE -2017-0199)通过电子邮件进行传播,感染成功后利用“永恒之蓝”漏洞(MS17-010),在内网中寻找打开 445 端口的主机进行传播。

中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,界面上谎称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。

当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。

Petya病毒感染文件后缀列表:

.3ds .7z .accdb .ai .asp .aspx .avhd .back.bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz.h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd.vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

从病毒样本中也可以看到攻击者邮件、Bitcoin地址、支付金额提示、感染文件类型等:

防护策略建议:

1. 不要轻易点击附件,尤其是.rtf、.doc等格式文件。

2. 更新Windows操作系统补丁

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

3. 更新 Microsoft Office/WordPad(RTF)远程执行代码漏洞(CVE -2017-0199)补丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

4. 启用windows防火墙,关闭137、139、445等相关端口;

5. 使用HanSight Enterprise和HanSight NTA监控网络流量和主机行为,及时对告警排查处理。

【本文为51CTO专栏作者“瀚思 ”的原创稿件,转载请通过作者获取授权】

戳这里,看该作者更多好文

责任编辑:武晓燕 来源: 51CTO专栏
相关推荐

2017-06-28 02:25:23

2015-09-20 15:50:46

2017-07-05 11:23:38

勒索病毒网络安全企业数据

2017-05-18 09:49:19

2018-03-25 09:11:31

大数据机器学习分析软件

2021-09-13 09:22:45

勒索软件攻击数据泄露

2018-07-12 14:57:07

移动办公

2018-02-28 07:33:59

云迁移数据中心云计算

2018-03-01 10:48:52

云 数据中心

2018-04-02 11:22:31

大数据Hadoop数据处理

2023-11-21 08:45:10

JSON性能程序

2015-08-04 10:34:13

Windows 10升级

2020-05-22 13:32:24

可视化词云图数据

2020-06-12 07:36:33

Redis

2018-07-30 09:33:21

2018-05-15 15:47:32

2018-02-08 08:35:23

区块链食品安全食品供应商

2016-07-12 10:03:37

2019-11-08 09:46:34

技术功能开发

2019-09-22 18:53:27

Jupyter Not代码开发
点赞
收藏

51CTO技术栈公众号