加入收藏
站内搜索:  
当前位置: 首页 >> 网络安全知识 >> 正文
Petya 勒索病毒分析及预防措施
来源:信息与现代教育技术中心 点击数: 发表时间:2017-06-29 10:55:42

一、 事件描述

北京时间2017627日,petya勒索软件的新变种之一Petwrap勒索软件肆虐全球,乌克兰、俄罗斯两国为重灾区,其他部分国家均受到不同程度的影响,包括西班牙、法国、英国、丹麦、印度等。乌克兰国内能源企业、政府机构、机场、银行与金融机构以及多家大型工业企业计算机系统遭受勒索病毒威胁,导致业务无法正常运转,同时627日晚间,国内部分外企也确认感染同样的勒索病毒。

二、 影响

(一)影响操作系统

Petya勒索软件影响操作系统:Windows XP及以上版本。

(二)风险等级

风险评级为:危急

三、传播方式

根据勒索信息判断,该病毒为去年出现的新型勒索Petya的变种, 该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。从推理分析来看,该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,释放Downloader来获取病毒母体,形成初始扩散节点,通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力,对内网安全总体上比此前受到广泛关注的“魔窟”(WannaCry)有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。

Windows主机感染该病毒后,整个硬盘的MBR将会被覆盖,并导致系统崩溃蓝屏,而当用户重启计算机时,修改后的MBR会阻止Windows正常加载,而显示攻击者的勒索信息,在支付赎金获得解密秘钥前,用户将无法正常启动主机,从而失去文件和计算机的访问权限。

四、预防措施

(一)如未被感染

邮件防范

由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议不要轻易点击来源不明的链接、附件、安装包,尤其是rtfdoc等格式。

立即安装微软补丁(MS

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

禁用WMI服务

https://zhidao.baidu.com/question/91063891.html

更改空口令和弱口令

如操作系统存在空口令或弱口令的情况,请及时将口令更改为高强度的口令。

内网预防办法

内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。

安装最新安全软件

安装强大的反病毒软件对预防勒索软件有一定效果(但不绝对)

(二)如已被感染

如无重要文件,建议重新安装系统,更新补丁、禁用WMI服务、使用免疫工具进行免疫。

有重要文件被加密,如已开启Windows自动镜像功能,可尝试恢复镜像。

五、总结

此次petya勒索软件的新变种之一Petwrap勒索软件之所以能够肆虐全球,影响之广,在通过其传播方式,漏洞利用等方面的分析发现,此次黑客使用的是Petya勒索病毒的变种Petwarp,使用的攻击方式和WannaCry相同,这说明人们网络安全意识的淡薄和重视不足,缺少有效的安全管理机制和预防措施,才会出现同一个漏洞反复被利用现象,面对网络安全事件的频发和互联网化、信息化、智能化和物联网化的高速发展,应该加强推进网络安全与网络化的同步健康发展,努力把我国从网络大国建设成为网络强国。

 

Copyright © 2012 All Rights Reserved 西安文理学院 版权所有

地址:科技六路1号 邮编:710065 备案序号:陕ICP备05014434