「WannaCry」后又一勒索軟體「Petya」變種病毒襲來！如何應對？

事件背景

北京時間6月27日晚間，據國外媒體HackerNews爆料，一種類似於「WannaCry」的新型勒索病毒席捲了歐洲，烏克蘭境內捷運、電力公司、電信公司、切爾諾貝利核電站、銀行系統等多個國家設施均遭感染導致運行異常。該病毒為「Petya」變種病毒，通過郵箱附件傳播。另據烏克蘭CERT官方消息稱，郵箱附件被確認是該次病毒攻擊的傳播源頭。該勒索病毒在全球範圍內爆發，受病毒侵襲的國家除了烏克蘭外，還有俄羅斯、西班牙、法國、英國以及歐洲多個國家，後續不排除會繼續蔓延到包括在內的亞洲國家。

病毒分析

經過銳捷安全產品事業部的取證研究，這次攻擊是勒索病毒「Petya」的變種，病毒傳播過程利用到windows的兩個漏洞。第一步是利用CVE-2017-0199漏洞發送郵件，將病毒添加在office附件里，PC一旦打開附件，第一個傳播的源頭被感染成功。第二步是通過MS17-010（永恆之藍）漏洞和系統弱口令進行傳播。漏洞的詳細利用情況如下：

1漏洞一：CVE-2017-0199漏洞

漏洞說明：CVE-2017-0199允許攻擊者利用此漏洞誘使用戶打開處理特殊構造的Office文件在用戶系統上執行任意命令，從而控制用戶系統。

利用方法：利用該漏洞，黑客可以將勒索軟體的代碼嵌入了office文檔中，例如word、PPT、Excel等，作為附件偽裝成求職、廣告等通過電子郵件傳播。用戶收到經過偽裝的郵件后，一旦打開，勒索病毒釋放成可執行文件。

2漏洞二：MS17-010（永恆之藍）SMB漏洞

漏洞說明：MS17-010（永恆之藍）SMB漏洞是今年4月方程式組織泄露的重要漏洞之一。「永恆之藍」利用Windows SMB遠程提權漏洞，可以攻擊開放445 埠的 Windows 系統並提升許可權。

利用方法：首先，TCP 埠 445是在Windows 系統中提供區域網中文件或印表機共享服務，黑客嘗試與電腦445埠建立請求連接，一旦連接成功，就能夠獲得區域網內共享的文件或信息。通過第一個漏洞感染的第一台PC繼而利用MS17-010（永恆之藍）SMB漏洞感染區域網中開放445埠的所有PC。

本次勒索病毒覆蓋的終端是windows XP及以上操作系統，電腦、伺服器感染這種病毒後會被加密特定類型文件，導致系統無法正常運行。不同於傳統勒索軟體加密文件的行為，「Petya」是一個採用磁碟加密方式，加密成功后，會顯示勒索信息的界面，如果受害者不支付贖金，根本無法進入系統。

被加密后的勒索信息

安全建議

1惡意郵件防範

該勒索軟體首次傳播是通過郵件進行的，故此，遇到攜帶不明office附件和不明鏈接的郵件請勿點擊附件。

2針對CVE-2017-0199、MS17-010兩個漏洞及時安裝漏洞補丁

（CVE-2017-0199) RTF漏洞補丁地址：

MS17-010（永恆之藍）漏洞補丁地址：

3禁用WMI服務

https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx

4防火牆防護

銳捷網路已發布最新防護特徵庫，如果您是銳捷全新下一代防火牆產品的用戶，請及時更新到如下版本：

病毒樣本庫：49.00830；

IPS特徵庫：11.00168

總結

回顧「Petya」變種病毒和「wannacry」事件，勒索病毒所使用的手段並不是非常高級的攻擊方法，利用的漏洞也並非0-day漏洞，而是微軟早已發布通告的已知漏洞，傳播的關鍵因素在於電腦或伺服器存在未及時更新的漏洞和弱口令。因此，企業和個人都應認真思考安全體系建設的基礎工作，個人電腦應及時安裝操作系統補丁，拒絕弱口令並定期更換密碼，遇到不明確的郵件不要輕易打開。企業用戶應在網路邊界部署可以及時提供相應特徵庫和防護策略的安全設備，儘早開啟防護策略並及時更新特徵庫。防患於未然，做好安全，企業才能更好地發展。