search
全新勒索病毒爆發 避免新一輪」勒索病毒」應當這麼做

全新勒索病毒爆發 避免新一輪」勒索病毒」應當這麼做

【全新勒索病毒爆發】WannaCry剛走,Petya就來了(區域網也能傳播更誇張),這個病毒目前正在全球爆發,其中烏克蘭、俄羅斯受害最嚴重。有技術大拿對Petya分析后發現,這個全新的勒索病毒依然是使用了「永恆之藍」(EternalBlue)漏洞,這也是它能像WannaCry一樣快速傳播的主因。

此外,需要注意的是,Petya病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows操作系統之前接管電腦,執行加密等惡意操作。

6月27日晚間,大規模勒索蠕蟲病毒攻擊重新席捲全球。據消息顯示,名為」Petya」的勒索病毒變種又開始肆虐,烏克蘭、俄羅斯等歐洲多國已大面積感染。據360方面提供的數據顯示,在歐洲國家重災區,新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦,多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷,甚至烏克蘭副總理的電腦也遭到感染。根據比特幣交易市場的公開數據顯示,病毒爆發最初一小時就有10筆贖金付款。據360安全中心監測,目前國內也出現了病毒傳播跡象。

與5月爆發的Wannacry相比,Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞,還會利用「管理員共享」功能在內網自動滲透。在歐洲國家重災區,新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦,多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷,甚至烏克蘭副總理的電腦也遭到感染。

360首席安全工程師鄭文彬介紹說,Petya勒索病毒最早出現在2016年初,以前主要利用電子郵件傳播。最新爆發的類似Petya的病毒變種則具備了全自動化的攻擊能力,即使電腦打齊補丁,也可能被內網其他機器滲透感染,必須開啟360等專業安全軟體進行攔截,才能確保電腦不會中毒。

據阿里雲安全團隊表示,其第一時間拿到病毒樣本,分析顯示這次爆發的是一種新型勒索蠕蟲病毒。電腦、伺服器感染這種病毒後會被加密特定類型文件,導致系統無法正常運行。

目前,該勒索蠕蟲通過Windows漏洞進行傳播,一台中招可能就會感染區域網內其它電腦。

不同於傳統勒索軟體加密文件的行為,「必加」(Petya)是一個採用磁碟加密方式,進行敲詐。其早期版本只對MBR和磁碟分配表進行加密,並謊稱全盤加密。其目前版本是否能完成全盤加密,安天分析小組尚在驗證之中。

鑒於初始爆發地區的地緣敏感性、具備一定強度的擴散能力和所處的特殊攻擊時點,互聯網安全平台安天目前認為這次事件不能完全排除是單純經濟目的的惡意代碼攻擊事件,亦不能直接判斷是針對特定地區的定向攻擊。

據介紹,「必加」(Petya)病毒所達成的後果,在勒索軟體中是較為特殊的。其將導致計算機系統不能進入正常的系統啟動流程,其即可達成勒索目的,其同樣可以作為一種破壞載荷。由於其加密扇區,偽裝成了系統卷出問題的磁碟檢查過程,因此這種社工技巧,可以保證其完成加密作業的全程。而一旦其作為破壞載荷來使用,就同樣可以達成和此前在烏克蘭停電、索尼攻擊事件等破壞引導記錄導致系統不能自舉的同樣效果。鑒於本次事件所發生的特殊的時點,因此安天分析小組認為,目前並不能得出本事件是完全以經濟勒索為目的惡意代碼攻擊事件的結論,而還需要更多進一步的分析。

阿里雲安全團隊表示,所有在IDC託管或自建機房有伺服器的企業,如果採用了Windows操作系統,立即安裝微軟補丁。

安全補丁對個人用戶來說相對簡單。只需自學裝載,就能完成。對大型企業或組織機構,面對成百上千台機器,最好還是能使用客戶端進行集中管理。比如,阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。可靠的數據備份可以將勒索軟體帶來的損失最小化。建議啟用阿里雲快照功能對數據鏡像備份,並同時做好安全防護,避免被感染和損壞。

互聯網安全專家認為,面對這種局面,與其誇大病毒本身的能力和威脅,不如認真思考安全基礎工作的是否紮實。其應對不能更多立足於災難響應、數據恢復甚至是破解解密,而必須立足於儘可能的防患於未然,最大程度將易被攻陷的節點減到最小。

不過互聯網安全專家也表示,用戶面對這次的病毒衝擊影響將會較小,國內大部分安全軟體能夠全面攔截Petya等各類勒索病毒及變種,其中360方面基於對產品防護能力的信心,更在全球範圍內獨家推出「反勒索服務」,承諾如果防不住病毒,360負責賠贖金,給用戶提供免費保險。

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23261次喜歡
留言回覆
回覆
精彩推薦