search
詳解讓烏克蘭總理都 「哭泣」 的勒索病毒,你到底要不要怕?

詳解讓烏克蘭總理都 「哭泣」 的勒索病毒,你到底要不要怕?

300 + 明星創業公司,3000 + 行業人士齊聚全球人工智慧與機器人峰會 GAIR 2017,一 同見證 AI 浪潮之巔!峰會搶票火熱進行中。讀者有專屬送票福利活動哦,詳情見文末!

北京時間 6 月 27 日晚間,歐洲遭到新一輪的未知病毒的衝擊,該病毒傳播方式與今年 5 月爆發的 WannaCry 病毒非常相似。

據雷鋒網宅客頻道了解,受影響最嚴重的國家是烏克蘭,而且已經有國內企業中招。此外,俄羅斯(俄羅斯石油公司 Rosneft)、西班牙、法國、英國(全球最大廣告公司 WPP )、丹麥(航運巨頭 AP Moller-Maersk)、印度、美國(律師事務所 DLA Piper)也受到不同程度的影響。

此前,國內的安全公司已確認該勒索病毒為 Petya 的變種,傳播方式與 WannaCry 類似,利用 EternalBlue(永恆之藍)和 OFFICE OLE 機制漏洞(CVE-2017-0199)進行傳播。

不過,卡巴斯基實驗室的分析人員表示,這種最新的威脅並不是之前報道中所稱的是一種 Petya 勒索軟體的變種,而是一種之前從未見過的全新勒索軟體。儘管這種勒索軟體同 Petya 在字元串上有所相似,但功能卻完全不同,並將其命名為 ExPetr 。

傳播方式

360 首席安全工程師鄭文彬稱,此次最新爆發的病毒具備了全自動化的攻擊能力,即使電腦打齊補丁,也可能被內網其他機器滲透感染。

根據 360 的威脅情報,有用戶收到帶有附件名為:「Order-20061017.doc「的郵件,該郵件附件為使用 CVE-2017-0199 漏洞的惡意文件,漏洞觸發后從 「http ://french-cooking.com/myguy.exe」 下載惡意程序執行。外部威脅情報顯示,該勒索軟體就是由此惡意程序最早傳播。

據分析,病毒作者很可能入侵了烏克蘭的專用會計軟體 me-doc,來進行最開始的傳播。他們將病毒程序偽裝成 me-doc 的升級程序給其用戶下發。

由於這是烏克蘭官方要求的報稅軟體,因此烏克蘭的大量基礎設施、政府、銀行、大型企業都受到攻擊,其他國家同烏克蘭有關聯的投資者和企業也收到攻擊,這展示了此次勒索病毒變種的一個針對性特徵,針對有報稅需求的企業單位進行攻擊也符合勒索病毒的牟利特點。

根據 360 安全中心監測,此次國內出現的勒索病毒新變種主要攻擊途徑是內網滲透,也就是利用 「管理員共享」 功能攻擊內網其他機器,相比已經被廣泛重視的 「永恆之藍」 漏洞更具殺傷力。

技術原理

據阿里雲安全專家介紹,勒索病毒通過 Windows 漏洞進行傳播,同時會感染區域網中的其它電腦。電腦感染勒索病毒后,會被加密特定類型文件,導致電腦無法正常運行。而這種勒索病毒在內網系統中,主要通過主要通過 Windows 管理體系結構(Microsoft Windows Management Instrumentation),和 PSEXEC(SMB 協議)進行擴散。

該病毒會加密磁碟主引導記錄(MBR),導致系統被鎖死無法正常啟動,然後在電腦屏幕上顯示勒索提示。如果未能成功破壞 MBR,病毒會進一步加密文檔、視頻等磁碟文件。

阿里雲在對病毒樣本進行研究后發現,操作系統被感染后,重新啟動時會造成無法進入系統。下圖顯示的就是病毒偽裝的磁碟掃描程序。

而該病毒對勒索對象的加密,可以分為以下 7 個步驟:

根據安天方面的消息,該病毒的勒索模塊實際上是一個 DLL 文件,該文件被載入后遍歷用戶磁碟文件(除 C:\Windows 目錄下),並對指定後綴名的文件進行加密,加密后不修改原文件名和擴展名。該文件修改 MBR,同時,添加計劃任務,在等待一段時間后,關閉計算機。當用戶開啟計算機時,會顯示勒索界面和信息並無法進入系統。

與 WannaCry 的差異

據雷鋒網 宅客頻道了解,這次的新型勒索病毒變種,是利用系列漏洞進行傳播的新勒索病毒家族。與 5 月爆發的 WannaCry 相比,新型勒索病毒變種的傳播速度更快。此次勒索病毒的主要特點有:

  • 該勒索病毒使用了多種方式在內網進行攻擊傳播,包括使用了 NSA 的武器庫中的永恆之藍、永恆浪漫系列遠程攻擊武器,以及利用內網共享的方式傳播。因此不僅沒有及時修復 NSA 武器庫漏洞的用戶會受影響,只要內網中有其他用戶受到攻擊,已經打了補丁的電腦也可能會受到攻擊。

  • 此次的勒索病毒會導致電腦不可用。此前的 WannaCry 病毒僅會加密用戶文件,但是用戶的電腦仍暫時可用。此次的勒索病毒會感染用戶電腦的引導區,導致用戶電腦無法正常開機(強制顯示勒索信息)。

  • 此外,該勒索病毒加密的文件類型相比 WannaCry 少,一共有 65 種,而 WannaCry 為 178 種(包括常見文件類型)。

解決方案

目前,網路管理員可通過監測相關域名 / IP,攔截病毒下載,統計內網感染分佈:

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

此外,還可以通過如下關鍵 HASH 排查內網感染情況:

415fe69bf32634ca98fa07633f4118e1

0487382a4daf8eb9660f1c67e30f8b25

a1d5895f85751dfe67d19cccb51b051a

71b6a493388e7d0b40c83ce903bc6b04

目前,包括 360、騰訊、阿里雲、安天在內的各大安全廠商已經推出了初步的解決方案, 以下是針對受害者的初步建議:

  • 目前勒索者使用的郵箱已經停止訪問,不建議支付贖金。

  • 所有在 IDC 託管或自建機房有伺服器的企業,如果採用了 Windows 操作系統,立即安裝微軟補丁。

  • 安全補丁對個人用戶來說相對簡單。只需自學裝載,就能完成。

  • 對大型企業或組織機構,面對成百上千台機器,最好還是能使用客戶端進行集中管理。

  • 可靠的數據備份可以將勒索軟體帶來的損失最小化。

此外,各安全廠商也出具了應急處理措施,以下是雷鋒網對部分方案的匯總:

1. 360

安全操作提示

從目前掌握的情況來看:

  • 不要輕易點擊不明附件,尤其是 rtf、doc 等格式,可以安裝 360 天擎(企業版)和 360 安全衛士(個人版)等相關安全產品進行查殺。

  • 及時更新 windows 系統補丁,具體修復方案請參考 「永恆之藍」 漏洞修復工具。

  • 內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼,未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

360 企業安全天擎團隊開發的勒索蠕蟲漏洞修復工具,可解決勒索蠕蟲利用 MS17-010 漏洞帶來的安全隱患。此修復工具集成免疫、SMB 服務關閉和各系統下 MS17-010 漏洞檢測與修復於一體。可在離線網路環境下一鍵式修復系統存在的 MS17-010 漏洞,工具下載地址:

緩解措施

  • 關閉 TCP 135 埠

  • 建議在防火牆上臨時關閉 TCP 135 埠以抑制病毒傳播行為。

  • 停止伺服器的 WMI 服務

WMI(Windows Management Instrumentation Windows 管理規範)是一項核心的 Windows 管理技術 你可以通過如下方法停止 :在服務頁面開啟 WMI 服務。在開始 - 運行,輸入 services.msc,進入服務。或者,在控制面板,查看方式選擇大圖標,選擇管理工具,在管理工具中雙擊服務。

在服務頁面,按 W,找到 WMI 服務,找到后,雙擊 ,直接點擊停止服務即可,如下圖所示:

2. 阿里雲

目前勒索者使用的郵箱已經被關停,不建議支付贖金。

所有在 IDC 託管或自建機房有伺服器的企業,如果採用了 Windows 操作系統,立即安裝微軟補丁。

對大型企業或組織機構,面對成百上千台機器,最好還是使用專業客戶端進行集中管理。比如,阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。

可靠的數據備份可以將勒索軟體帶來的損失最小化。建議啟用阿里雲快照功能對數據進行備份,並同時做好安全防護,避免被感染和損壞。

3. 騰訊電腦管家+騰訊雲鼎實驗室

騰訊電腦管家已緊急響應,並已經確認病毒樣本通過永恆之藍漏洞傳播,開啟騰訊電腦管家可以防禦 petya 勒索病毒,還可全面防禦所有已知的變種和其他勒索病毒;此外,漏洞檢測能力也得到升級,加入了 NSA 武器庫的防禦,可以抵禦絕大部分 NSA 武器庫泄漏的漏洞的攻擊。

騰訊雲用戶請確保安裝和開啟雲鏡主機保護系統,雲鏡可對海量主機集中管理,進行補丁修復,病毒監測。

更新 EternalBlue&CVE-2017-0199 對應漏洞補丁

補丁下載地址:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

終端用戶使用電腦管家進行查殺和防護

電腦管家已支持對 EternalBlue 的免疫和補丁修復,也支持對該病毒的查殺,可以直接開啟電腦管家進行防護和查殺。

4. 安天

影響操作系統:「必加」(Petya)勒索軟體影響操作系統:Windows XP 及以上版本;

如未被感染

❶ 郵件防範

由於此次 「必加」(Petya)勒索軟體變種首次傳播通過郵件傳播,所以應警惕釣魚郵件。建議收到帶不明附件的郵件,請勿打開;收到帶不明鏈接的郵件,請勿點擊鏈接。

❷ 更新操作系統補丁(MS)

❸ 更新 Microsoft Office/WordPad 遠程執行代碼漏洞(CVE-2017-0199)補丁

❹ 禁用 WMI 服務

禁用操作方法:https://zhidao.baidu.com/question/91063891.html

❺ 更改空口令和弱口令

如操作系統存在空口令或弱口令的情況,請及時將口令更改為高強度的口令。

如已被感染

➀ 如無重要文件,建議重新安裝系統,更新補丁、禁用 WMI 服務、使用免疫工具進行免疫。

➁ 有重要文件被加密,如已開啟 Windows 自動鏡像功能,可嘗試恢復鏡像;或等待後續可能出現解密工具。

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23261次喜歡
留言回覆
回覆
精彩推薦