新闻中心

当前位置: 首页 > 新闻中心 > 新闻中心
Petya勒索病毒新变种来袭,如何防御不断进化的病毒威胁?
发表时间:2017-06-30     浏览次数:1402     来源:

        近期,勒索病毒Petya(必加)新变种在乌克兰、俄罗斯等国家大规模爆发,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。据莫斯科的网络安全公司Group-IB透露,目前为止,受影响的国家蔓延至西班牙、法国、英国、丹麦、印度、美国等国家,而仅俄罗斯和乌克兰两国就有80多家公司被该勒索病毒感染。
 
        经过对部分关键样本文件的跟进分析发现,这次攻击是勒索病毒Petya (必加)的新变种。Petya本身属于一款非常简单的勒索软件,类似于Wannacry,但是不同的是,它不会对电脑中的每个文件都进行加密,而是加密 NTFS 分区、覆盖 MBR(主引导记录)、阻止机器正常启动,所以影响更加严重。一旦完成感染, Petya会重启受害者的计算机并加密磁盘驱动器内的MFT(主文件表)并渲染MBR,进而通过占用物理磁盘上的文件名、大小与位置信息以限制用户对完整系统的正常访问。其中Petya替换的MBR代码中包含赎金说明。用户被感染后,勒索软件会要求用户支付价值300美元的比特币以解密自己的系统。

勒索页面
 
        国外安全研究人员分析认为,Petya采用了邮件、下载器和蠕虫的组合传播方式。该病毒釆用微软Office RTF漏洞(CVE-2017-0199)进行钓鱼攻击,用微软Windows SMB漏洞(MS17-010)进行内网传播,通过对磁盘文件加密进行恶意比特币勒索。
 
        很多安全研究机构认为,这次Petya的攻击源是由于MeDoc软件的更新服务被劫持导致。来自思科 Talos、ESET、卡巴斯基实验室的分析称,黑客首先攻击了乌克兰的会计软件厂商 MeDoc,随后黑客通过 MeDoc 的更新服务器推送推给用户。用户更新软件时,便感染了病毒。同时 Petya 会尝试在内存或者本地文件系统中提取密码,寻求入侵其他系统的途径。随后,Petya 会利用 PsExec 和 WMI。PsExec 原本是用来远程执行操作的工具,而 Petya 把它用来在其他电脑执行恶意代码。如果受感染的电脑拥有整个网络的管理权限,整个网络中的电脑都可能被感染。
 
        鉴于Petya病毒的感染模式和影响程度,建议互联网用户及时采取以下措施进行防控:
        1 警惕钓鱼邮件,收到不明附件或不明链接的邮件时请勿打开。
        2 更新操作系统及相关软件的补丁1.操作
        l   系统补丁下载地址:
        https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
        l   Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁下载地址:
        https://technet.microsoft.com/zh-cn/office/mt465751.aspx
        3 禁用WMI服务,修改操作系统空口令和弱口令。
        4 安装防病毒软件并升级