×

预警!勒索病毒又来了!Petya病毒大规模爆发
  

深信服安全产品研发 30734

{{ttag.title}}

预警!勒索病毒又来了!Petya病毒大规模爆发



安全处置建议
1、针对暂未被感染的计算机,为加强保护,避免被感染,请下载 智安全Petya免疫工具,一键免疫:
免疫工具下载地址(使用说明必读)  
http://sec.sangfor.com.cn/download?file=PetyaTool.zip

2、某公司安全防护产品规则
针对CVE-2017-0199、MS-17-010两个漏洞,某公司安全防护设备早已发布安全防护规则,用户更新至0419日及之后版本规则库即可防御。

3、在经过上个月WannaCry勒索病毒应急工作中打下了良好基础,该病毒目前尚未在我国大面积传播。受影响用户请在这段时间抓紧时间更新漏洞补丁。
(CVE-2017-0199) RTF漏洞补丁地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
S17-010(永恒之蓝)SMB漏洞补丁地址:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

4、提防钓鱼邮件,遇到携带不明附件和不明链接的邮件请勿点击。
如遇技术问题可拨打某公司安全应急热线400-630-6430 转 6 寻求支持

病毒介绍

      27日晚间,名为“Petya”的勒索病毒在全球范围内爆发。据外媒HackerNews报道,27日晚间消息,乌克兰境内包括国家储蓄银行(Oschadbank)、Privatbank 银行在内的几家银行机构、 电力公司 KyivEnergo 、国家邮政(UkrPoshta)均遭受Petya病毒的大规模网络攻击。

目前,Petya病毒已经侵袭了乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多个国家。


病毒分析
      经过某公司千里目安全研究团队研究发现,Petya勒索病毒是一种新型病毒,主要采用邮件钓鱼、蠕虫等组合进行传播。在传播过程中主要涉及Windows两个重要漏洞。

漏洞一:(CVE-2017-0199)RTF漏洞
CVE-2017-0199允许攻击者利用此漏洞诱使用户打开处理特殊构造的Office文件在用户系统上执行任意命令,从而控制用户系统。

简单来讲,就是攻击者可以将恶意代码嵌入Word等Office文档中,在无需用户交互的情况下,打开Word文档就可以通过自动执行任意代码。

在通常的攻击场景下,用户收到一个包含恶意代码的Office文件(不限于RTF格式的Word文件,可能为PPT类的其他Office文档),点击尝试打开文件时会从恶意网站下载特定的 HTA程序执行,从而使攻击者获取控制。

在本次Petya勒索病毒事件中,攻击者首先利用CVE-2017-0199漏洞通过邮件方式进行钓鱼投毒,建立初始扩散节点。

漏洞二:MS17-010(永恒之蓝)SMB漏洞
MS17-010(永恒之蓝)SMB漏洞是今年4月方程式组织泄露的重要漏洞之一。

“永恒之蓝”利用Windows SMB远程提权漏洞,可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

TCP 端口 445在WindowsServer系统中提供局域网中文件或打印机共享服务,攻击者与445端口建立请求连接,能够获得指定局域网内的各种共享信息。

在通过RTF漏洞建立初始扩散节点后可利用MS17-010(永恒之蓝)SMB漏洞感染局域网中开放445端口建立共享服务的所有机器。

病毒危害

Petya病毒是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。

不同于传统勒索软件加密文件的行为,Petya是一个采用磁盘加密方式,通过目前的行为分析发现,其加密的文件文件类型只有65种,但是已经包含了常见的文件类型。受害者一旦中招则需要支付价值300美金的比特币赎金才能获得解密。




打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_朱丽 发表于 2017-6-28 10:50
  
还好,还没到中国,赶紧修复打补丁!
小俊 发表于 2017-6-28 10:53
  
get
qinguorui 发表于 2017-6-28 11:09
  
病毒库有更新了吗
carl 发表于 2017-6-28 11:13
  
用户请在这段时间抓紧时间更新漏洞补丁。
(CVE-2017-0199) RTF漏洞补丁地址:
https://portal.msrc.microsoft.co ... isory/CVE-2017-0199
S17-010(永恒之蓝)SMB漏洞补丁地址:
https://technet.microsoft.com/en ... urity/ms17-010.aspx

2、提防钓鱼邮件,遇到携带不明附件和不明链接的邮件请勿点击。

3、临时解决方案,禁止使用smb服务的139、445等危险端口,禁用方法:
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

4、针对上个月WannaCry开发免疫工具,对于本次事件局域网传播阻断依然有效。下载地址:
http://sec.sangfor.com.cn/download?file=WannaCryTool.zip

5、针对CVE-2017-0199、MS-17-010两个漏洞,某公司安全防护设备早已发布安全防护规则,用户无需升级即可轻松防御。

赶快更新补丁!
AF用起来
qinpeng 发表于 2017-6-28 19:11
  
还好还好
tj_zero 发表于 2017-6-29 05:31
  
又来了
lvhuidi 发表于 2017-6-29 08:10
  
昨天去客户那里做项目,端口基本全封,申请才可开放,不知道病毒君怎么看
陈默默 发表于 2017-6-29 08:38
  
怕怕
leyshan 发表于 2017-6-29 09:03
  
小小鸡动
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人