新勒索病毒Petya如何破

新勒索病毒Petya如何破

　　烏克蘭、俄羅斯、印度、西班牙、法國(guó)、英國(guó)以及歐洲多國(guó)正在遭遇Petya勒索病毒襲擊，政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場(chǎng)都不同程度的受到了影響。

　　烏克蘭內(nèi)政部官員Anton Gerashchenko在Facebook上寫(xiě)道，該入侵是“烏克蘭歷史上最大的一次”，其目標(biāo)是“動(dòng)搖不穩(wěn)定的經(jīng)濟(jì)形勢(shì)和公民意識(shí)”，盡管它被“偽裝成勒索企圖”。據(jù)爆料，其中烏克蘭副總理的電腦亦遭受攻擊。

　　根據(jù)研究發(fā)現(xiàn)，攻擊事件中的病毒屬于 Petya勒索者的變種 Petwrap，可能的傳播渠道是：病毒使用 Microsoft Office/WordPad(RTF)遠(yuǎn)程執(zhí)行代碼漏洞(CVE -2017-0199)通過(guò)電子郵件進(jìn)行傳播，感染成功后利用“永恒之藍(lán)”漏洞(MS17-010)，在內(nèi)網(wǎng)中尋找打開(kāi) 445 端口的主機(jī)進(jìn)行傳播。

　　中毒后，病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時(shí)，病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。電腦重啟后，會(huì)顯示一個(gè)偽裝的界面，界面上謊稱(chēng)正在進(jìn)行磁盤(pán)掃描，實(shí)際上正在對(duì)磁盤(pán)數(shù)據(jù)進(jìn)行加密操作。

　　當(dāng)加密完成后，病毒要求受害者支付價(jià)值300美元的比特幣之后，才會(huì)回復(fù)解密密鑰。

　　Petya病毒感染文件后綴列表：

　　.3ds .7z .accdb .ai .asp .aspx .avhd .back.bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz.h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd.vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

　　從病毒樣本中也可以看到攻擊者郵件、Bitcoin地址、支付金額提示、感染文件類(lèi)型等：

　　防護(hù)策略建議：

　　1. 不要輕易點(diǎn)擊附件，尤其是.rtf、.doc等格式文件。

　　2. 更新Windows操作系統(tǒng)補(bǔ)丁

　　https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

　　3. 更新 Microsoft Office/WordPad(RTF)遠(yuǎn)程執(zhí)行代碼漏洞(CVE -2017-0199)補(bǔ)丁

　　https://technet.microsoft.com/zh-cn/office/mt465751.aspx

　　4. 啟用windows防火墻，關(guān)閉137、139、445等相關(guān)端口;

　　5. 使用HanSight Enterprise和HanSight NTA監(jiān)控網(wǎng)絡(luò)流量和主機(jī)行為，及時(shí)對(duì)告警排查處理。

【新勒索病毒Petya如何破】相關(guān)文章：

Petya病毒怎么防范05-16

怎么應(yīng)對(duì)勒索病毒05-11

2017年勒索病毒預(yù)防措施-預(yù)防“勒索病毒”操作步驟大全02-26

勒索病毒會(huì)影響手機(jī)嗎12-30

勒索病毒最大的風(fēng)險(xiǎn)是什么03-21

勒索病毒肆虐帶來(lái)的反思05-11

勒索病毒個(gè)人電腦防范全攻略05-11

如何預(yù)防寨卡病毒02-27

新古箏如何調(diào)音11-03

如何激勵(lì)員工開(kāi)發(fā)新客戶12-05