×

预警!勒索病毒又来了!Petya病毒大规模爆发
  

深信服安全产品研发 30694

{{ttag.title}}

预警!勒索病毒又来了!Petya病毒大规模爆发



安全处置建议
1、针对暂未被感染的计算机,为加强保护,避免被感染,请下载 智安全Petya免疫工具,一键免疫:
免疫工具下载地址(使用说明必读)  
http://sec.sangfor.com.cn/download?file=PetyaTool.zip

2、某公司安全防护产品规则
针对CVE-2017-0199、MS-17-010两个漏洞,某公司安全防护设备早已发布安全防护规则,用户更新至0419日及之后版本规则库即可防御。

3、在经过上个月WannaCry勒索病毒应急工作中打下了良好基础,该病毒目前尚未在我国大面积传播。受影响用户请在这段时间抓紧时间更新漏洞补丁。
(CVE-2017-0199) RTF漏洞补丁地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
S17-010(永恒之蓝)SMB漏洞补丁地址:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

4、提防钓鱼邮件,遇到携带不明附件和不明链接的邮件请勿点击。
如遇技术问题可拨打某公司安全应急热线400-630-6430 转 6 寻求支持

病毒介绍

      27日晚间,名为“Petya”的勒索病毒在全球范围内爆发。据外媒HackerNews报道,27日晚间消息,乌克兰境内包括国家储蓄银行(Oschadbank)、Privatbank 银行在内的几家银行机构、 电力公司 KyivEnergo 、国家邮政(UkrPoshta)均遭受Petya病毒的大规模网络攻击。

目前,Petya病毒已经侵袭了乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多个国家。


病毒分析
      经过某公司千里目安全研究团队研究发现,Petya勒索病毒是一种新型病毒,主要采用邮件钓鱼、蠕虫等组合进行传播。在传播过程中主要涉及Windows两个重要漏洞。

漏洞一:(CVE-2017-0199)RTF漏洞
CVE-2017-0199允许攻击者利用此漏洞诱使用户打开处理特殊构造的Office文件在用户系统上执行任意命令,从而控制用户系统。

简单来讲,就是攻击者可以将恶意代码嵌入Word等Office文档中,在无需用户交互的情况下,打开Word文档就可以通过自动执行任意代码。

在通常的攻击场景下,用户收到一个包含恶意代码的Office文件(不限于RTF格式的Word文件,可能为PPT类的其他Office文档),点击尝试打开文件时会从恶意网站下载特定的 HTA程序执行,从而使攻击者获取控制。

在本次Petya勒索病毒事件中,攻击者首先利用CVE-2017-0199漏洞通过邮件方式进行钓鱼投毒,建立初始扩散节点。

漏洞二:MS17-010(永恒之蓝)SMB漏洞
MS17-010(永恒之蓝)SMB漏洞是今年4月方程式组织泄露的重要漏洞之一。

“永恒之蓝”利用Windows SMB远程提权漏洞,可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

TCP 端口 445在WindowsServer系统中提供局域网中文件或打印机共享服务,攻击者与445端口建立请求连接,能够获得指定局域网内的各种共享信息。

在通过RTF漏洞建立初始扩散节点后可利用MS17-010(永恒之蓝)SMB漏洞感染局域网中开放445端口建立共享服务的所有机器。

病毒危害

Petya病毒是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。

不同于传统勒索软件加密文件的行为,Petya是一个采用磁盘加密方式,通过目前的行为分析发现,其加密的文件文件类型只有65种,但是已经包含了常见的文件类型。受害者一旦中招则需要支付价值300美金的比特币赎金才能获得解密。




打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

sowkd 发表于 2019-5-18 16:13
  
不错,做得好
器官 发表于 2017-7-10 12:07
  
这边有中cerber3的 有解决方案么
奔跑的牛奶 发表于 2017-7-3 15:41
  
最近这个勒索病毒也太多了吧!
7情6欲 发表于 2017-7-3 14:09
  
有某公司,不怕
LoveTech 发表于 2017-7-3 10:42
  
感谢提供,及时
赵无忌 发表于 2017-7-3 08:52
  
勒索病毒成为病毒发展的趋势,真是应了那句要钱不要命
Charles 发表于 2017-7-2 19:40
  
哇哦,好怕怕哦
头像被屏蔽
honor 发表于 2017-7-2 15:44
  
提示: 作者被禁止或删除 内容自动屏蔽
毕业小雷音 发表于 2017-7-1 22:22
  
病毒库有更新了吗
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人