New image

网络安全:继WannaCry之后,最新网络病毒Petya来袭

2017年06月29日

 

2017年第一季度,对于网络安全界来说是一个多事之秋。上个月全球多个国家网络均受WannaCry病毒攻击的困扰,还没彻底解决该病毒时,新一轮的病毒已经悄然到来。据美联社等外媒27日报道,新一轮超强电脑病毒Petya正向多个国家迅速蔓延,包括俄罗斯、英国、乌克兰等在内的欧洲国家。有机场、银行及大型企业被报告感染病毒,导致欧洲多国的多个组织、多家企业的系统出现瘫痪。报道称,这轮病毒足以与五月席卷全球的勒索病毒WannaCry的攻击性相提并论。这一消息对于网络安全行业来说可谓是一波未平一波又起。

面对最新一轮病毒,多个国家发出应急响应。网络安全专家马上对Petya病毒进行分析研究,发现Petya敲诈者病毒和WannaCry勒索病毒类似,都是连接时使用的是“永恒之蓝”(EternalBlue)漏洞,达到了快速传播的目的。但新变异病毒Petya不仅对文件进行加密,而且直接将整个硬盘加密、锁死,在出现以下界面并瘫痪后,其同时自动向局域网内部的其它服务器及终端进行传播。黑客要求受害者支付价值300美元的比特币之后,才会回复解密密钥。

病毒感染“症状”

据相关报道,Petya一旦感染系统,会覆盖整个硬盘的MBR,使Windows崩溃并显示蓝屏,而当用户重启计算机时,已修改的MBR会阻止Windows的正常加载,而是显示一个ASCII骷髅图像和提示:支付一定数量的比特币,否则将失去文件和计算机的访问权限。

另外,修改的MBR也会禁用Safe Mode模式的重启。

接下来会显示用户操作的指导说明:一个要求的列表,Tor Project的链接,如何进入支付页面和私有解密密钥。

PETYA的解密和支付说明

通过查看其专业设计的Tor网站发现,目前赎金价格为0.99比特币(BTC)或US$431,如果错过了屏幕显示的截止日期,赎金价格将会翻倍。

防御措施

由于Petya突发事件相对较短,目前还没有最终的解决方案,但对于该病毒可进行相关的缓解措施。为此,国内信息安全服务商数安时代(GDCA)提醒:

1、补丁修复,更新操作系统

更新操作系统补丁(MS)

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

2、添加邮件网关黑名单

由于此次Petya勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件的邮件,尤其是匿名邮件,尽量避免点击邮件中的链接等。

3、杀毒软件升级及监控

目前各大杀毒软件都可以防御petya勒索病毒,还可全面防御所有已知的变种和其他勒索病毒;而且杀毒软件控制台可查看报警信息,如是否有入侵事件,如针对SMB攻击(如SMB BoublePulsar ping、溢出攻击),对已感染的进行处理。

4、停止服务器的WMI服务

WMI(Windows Management Instrumentation Windows 管理规范)是一项核心的 Windows 管理技术 你可以通过如下方法停止 :在服务页面开启WMI服务。在开始-运行,输入services.msc,进入服务。或者,在控制面板,查看方式选择大图标,选择管理工具,在管理工具中双击服务。

5、关闭TCP 135端口

在防火墙上临时关闭TCP 135端口以抑制病毒传播行为。

近年来,全球网络安全接受着各种各样的网络挑战,迫使网络安全防护不断升级。面对当下复杂的网络安全威胁趋势,目前简单的防护已经抵御不了各种快速变异的病毒。应对日益复杂多变的网络攻击,企业的安全防御系统必须进行全面的构建升级。毕竟网络安全是一件没有远虑,必有近忧的事情。

版权所有©数安时代科技股份有限公司2002-2019。保留一切权利。

客服热线:95105813   粤ICP备05036352号   公安备案:4406053010643