勒索病毒Petya席捲全球，金山雲安全發布防範建議

6月27日晚，一種名為Petya的新型勒索病毒爆發，快速席捲了俄羅斯、美國和烏克蘭等國家，並正向全球蔓延。與此前5月WannaCry病毒類似，感染該病毒電腦用戶也將被要求支付一定數量的加密數字貨幣才能解鎖。

金山雲安全中心啟動安全檢測，確認金山雲客戶尚無感染案例。與此同時，通過金山雲沙盒分析系統對感染樣本主機行為分析發現，此次主要感染windows PE文件格式，linux 或者mac無須恐慌，但建議沒打補丁用戶儘快打補丁避免感染風險。

根據金山雲安全中心安全截取的樣本分析確認，此次攻擊網路感染部分Petya釆用 「永恆之藍」的漏洞（MS17-010 SMB漏洞）做內網感染，RTF漏洞（CVE-2017-0199）進行釣魚攻擊。

根據MALWAREINT的全網漏洞探測系統數據：

備註：MS17-010PoC返回存在漏洞的主機數量。

發現在6月27日23點以後，全網感染主機數量增加。

RTF感染EXP，可以參考：https://www.exploit-db.com/exploits/41934/

小結：本次攻擊網路部分主要是針對個人PC的攻擊和傳染。

金山雲沙盒分析系統對感染樣本主機行為分析后，發現該病毒具有如下特徵：

（1） Petya勒索軟體主要使用ms17-010 Poc、WMIC、PsExec等病毒組件完成傳播信息獲取。

（2） 磁碟API調用包括："\\\\.\\PhysicalDrive"、"\\\\.\\PhysicalDrive0"、"\\\\.\\C:"、"TERMSRV"、"\\admin$"、"GetLogicalDrives"、"GetDriveTypeW"

（3） 勒索部分顯示信息包括："CHKDSK is repairing sector"、"[email protected]"、"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX"

（4） 功能調用API："OpenProcessToken"、"EnterCriticalSection"、"GetCurrentProcess"、"GetProcAddress"、"WriteFile"、"CoTaskMemFree"、"NamedPipe"

（5） 使用命令：主要是刪除Setup、System、Security、Application

例如：wevtutil cl Application 和fsutilusndeletejournal

（6） 使用任務："schtasks "、"/Create /SC "、"at %02d:%02d %ws"、"shutdown.exe /r /f"

小結：包含以上特徵的調用視為Petya。

如何防範：

（1） 如果你的企業架構中存在windows伺服器，建議使用公有雲平台的VPC網路安全組，防範企業內網感染，降低攻擊面。

（2） 如果你的企業中存在郵件系統，建議更新自己的反病毒郵件網關的病毒定義，或者對進入企業內網的郵件附件做安全掃描，防止病毒通過RTF漏洞傳播。

（3） 使用金山雲安全產品KHS更新安全補丁。

（4） 使用金山雲主機快照定期對伺服器上的數據盤進行備份。