来源中国军网
6月27日晚间时候(欧洲时间6月27日下午时分),新一轮的勒索病毒变种(本次名为Petya)再一次袭击并导致欧洲多国的多个组织、多家企业的电脑操作系统出现瘫痪。通过目前新闻判断乌克兰似乎是“Petya”受打击最严重的国家之一。 该国政府,一些国内银行和最大的电力公司回应表示,他们正在处理来自Petya感染的后果。
一、目前受影响情况:
丹麦运输和能源公司马士基在其网站上的一份声明中表示,由于网络攻击,我们可以确认马士基IT系统在多个站点和业务部门下降。但并未直接认定为Petya病毒攻击。
俄罗斯能源巨头Rosneft在Twitter上表示,正面临着“强大的黑客攻击”。但是两家公司都没有交付赎金。
乌克兰国有银行oschadbank的ATM机照片。
欧洲超市被petya攻击图片。
欧洲超市petya攻击图片。
美国跨国律师事务所DLA Piper
英国广告公司WPP
宾夕法尼亚医院手术被迫停止。
二、样本MD5
目前捕获样本MD5:
71b6a493388e7d0b40c83ce903bc6b04
e285b6ce047015943e685e6638bd837e
三、传播机制和危害
在汇集了多方威胁情报后,样本间直接关系仍不明确的情况下,经过对部分关键样本文件的跟进分析发现,这次攻击是勒索病毒“必加”(Petya)的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。
同时初步分析Petya捆绑了一个名为“LSADump”的工具,可以从Windows计算机和网络上的域控制器收集密码和凭证数据。
因此其对内网总体上比此前受到广泛关注的“魔窟”(WannaCry)有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。
新变异病毒(Petya)不仅只对文件进行加密,而且直接将整个硬盘加密、锁死,在出现以下界面并瘫痪后,其同时自动向局域网内部的其它服务器及终端进行传播。
初步研究表明Petya对以下文件将会进行加密:
Petya希望受害者通过Tor网络支付300美金赎金来解锁相关被加密文件,但目前大量证据表明即使支付赎金也无法进行解密文件。
Petya加密文件后的运行界面:
Petya传播机制:该样本会释放出名为dllhost.dat的文件,该文件是微软Sysinternals工具集中的PsExec程序。该程序可用于在远程机器上执行命令。控制端和被控制端的数据传输都是通过445(Windows 2000)/135或139端口进行(非Windows 2000)。
四、防范方法
1、 邮件防范
由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件的邮件,请勿打开;收到带不明链接的邮件,请勿点击链接。
2、更新操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
3、更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
4、 禁用WMI服务
禁用操作方法:https://zhidao.baidu.com/question/91063891.html
5、关闭IPC共享以及防止采用空口令和弱口令
关闭IPC共享和及时加强操作系统口令。
