國舜股份安全專家：針對全球肆虐的第二波勒索病毒8招防禦

6月27日，據國外媒體在twitter爆料，一種類似於「WannaCry」的新勒索病毒席捲了歐洲，導致俄羅斯石油公司(RosneftPJSC)和丹麥A.P.穆勒-馬士基有限公司等在內的多家大型企業被攻擊，烏克蘭的政府系統也遭到了該病毒的襲擊。印度，西班牙等國家的政府，工業，民航等重要基礎設施也被感染。

該勒索病毒仍藉助」永恆之藍」工具利用的漏洞進行傳播，也會掃描內網並通過SMB協議漏洞傳播，但與Wannacry不同，根據比利時網路應急團隊CERT.be的報告，Petya還利用了FireEye公司四月份公布的另外一個Windows漏洞，攻擊者可以利用釣魚郵件發送的惡意文件在受害者電腦上運行命令。但其勒索的最終結果不再是簡單的加密文件，而是加密整個硬碟，並修改MBR，在開機即彈出勒索提示，並要求支付相當於300美元的比特幣。據悉目前已有國內企業中招。

Petya和其他流行勒索軟體不一樣，它是通過攻擊底層的磁碟架構達到無法訪問整個系統的目的。惡意軟體的作者不僅創建了自身的引導程序，而且還創建了一個微型的內核，長度為32節區。Petya釋放的文件向磁碟頭部寫入惡意代碼，被感染系統的主引導記錄被引導載入程序重寫，並且載入一個微型惡意內核。接著，這個內核開始進行加密。Petya聲稱加密了所有的磁碟，但事實不是這樣。相反它只加密了主文件表，因此文件系統不可讀。

此外，特別需要注意的是在傳播方式上，Petya的快速蔓延主要藉助的是企業信息安全最薄弱的「電子郵件」環節。由於電子郵件攻擊屬於「半自動」傳播，因此防範Petya勒索病毒的工作重點就落在了釣魚郵件攻擊的防禦上。

國舜股份專家表示： Petya在第二階段最危險，感染主機在BSOD之後重啟。為了阻止計算機在這一階段自動重啟，因此在系統故障后關閉自動重啟。具體的8條防護建議如下：

1.再次提醒打上MS17-010補丁。（永恆之藍事件中的補丁）。

2.目前最新版本的IDS/IPS事件庫可以防護基於永恆之藍攻擊利用漏洞的各種變種攻擊。

3.不要點擊陌生郵件的附件。

4. 限制管理員許可權。

5. 關閉系統崩潰重啟。

6. 立刻警告並培訓終端用戶加強對釣魚郵件附件的防範。不要點擊未知鏈接和附件。

7. 立即更新殺毒軟體。目前主流殺毒軟體都已經發布了針對Petya的病毒樣本更新。

8. 備份重要數據。重要文件進行本地磁碟冷存儲備份，以及雲存儲備份。

關於國舜股份

國舜股份是一家致力於信息安全領域研究和產品開發的高科技領軍企業，是雲、大數據、移動互聯網、物聯網等新興信息安全領域安全的開拓者。

國舜股份自主研發十多項具有自主知識產權的安全產品，獲得了多項國家級頂級安全服務認證資質，擁有網路安全攻防技術等多項技術以及軟體著作權39項。在北京奧運會、上海世博會、廣州亞運會等重大活動及黨和國家重要會議期間提供了信息安全技術保障服務。