6月27日21时,一种类似于“魔窟”的新勒索病毒以特定地区为初始投放点扩散到了欧洲多个国家,该病毒是今年3月发现的“Petya”的新变种,代号为“必加”(Petya)。该病毒现阶段在我国尚未大面积传播,但鉴于该病毒的传播方式有较大风险,建议广大网民做好针对该病毒的安全防护措施。
一.病毒爆发情况
目前,全球被感染的主要国家包括乌克兰、俄罗斯、波兰、意大利、德国和白俄罗斯。乌克兰银行、公司和机场等关键战略基础设施不同程度遭受到大规模网络攻击。
二.病毒机理分析
“必加”(Petya)作为勒索病毒“Petya”的新变种,具有与原病毒不同的新特点:
(一)灵活的病毒传播手段。该病毒采用了邮件、下载器和蠕虫等多种传播组合手段,首先采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,然后释放Downloader模块来获取病毒母体,形成初始扩散节点,之后通过 MS17-010(永恒之蓝)漏洞进行全网传播。同时,分析该病毒具有感染域控服务器和终端后提取用户名和口令的功能,具有一定的内网传播穿透能力。
(二)不同的文件加密方式。母体勒索病毒“ Petya”是一个采用磁盘加密方式进行文件破坏,其早期版本只对MBR和磁盘分配表加密,并谎称全盘加密。“必加”(Petya)不同于传统勒索软件加密文件的行为,目前版本是否能完成全盘加密,目前尚在验证之中。
(三)事件综合研判。鉴于初始爆发地区的地缘敏感性和所处的特殊攻击时点,目前认为不能完全判定这是事件是单纯经济目的的恶意代码攻击事件,后续还将开展更深入的情报收集和恶意代码分析工作。但勒索病毒“必加”(Petya)已表现出其传播范围和影响程度远高于普通勒索病毒和“魔窟”病毒等仅依靠扫描传播的勒索病毒,且多种渗透传播手段组合运用模式将成为未来勒索病毒的新常态。
三、应急处置建议
(一)影响操作系统
“必加”(Petya)勒索软件影响操作系统:WindowsXP及以上版本。
(二)如未被感染
1.邮件防范:由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件的邮件,请勿打开;收到带不明链接的邮件,请勿点击链接。
2.更新操作系统补丁(MS)https://technet.microsoft.com/enus/library/security/ms17-010.aspx
3.更新MicrosoftOffice/WordPad远程执行代码漏洞(CVE-2017-0199)补丁https://technet.microsoft.com/zh-cn/office/mt465751.aspx
4.禁用WMI服务,禁用操作方法:https://zhidao.baidu.com/question/91063891.html
5.更改空口令和弱口令:操作系统存在空口令或弱口令的情况,请及时将口令更改为高强度的口令。
(三)如已被感染
1.如无重要文件,建议重新安装系统,更新补丁、禁用WMI服务、使用免疫工具进行免疫。
2.有重要文件被加密,如已开启Windows自动镜像功能,可尝试恢复镜像;或等待后续可能出现解密工具。
咨询方式:
联系人:王楠、李灏、赵少飞
联系电话:029-88319550-8017或8019