新勒索病毒Petya如何破

时间:2020-08-21 15:44:59 网络技术 我要投稿

新勒索病毒Petya如何破

  乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

  乌克兰内政部官员Anton Gerashchenko在Facebook上写道,该入侵是“乌克兰历史上最大的一次”,其目标是“动摇不稳定的经济形势和公民意识”,尽管它被“伪装成勒索企图”。据爆料,其中乌克兰副总理的电脑亦遭受攻击。

  根据研究发现,攻击事件中的病毒属于 Petya勒索者的变种 Petwrap,可能的传播渠道是:病毒使用 Microsoft Office/WordPad(RTF)远程执行代码漏洞(CVE -2017-0199)通过电子邮件进行传播,感染成功后利用“永恒之蓝”漏洞(MS17-010),在内网中寻找打开 445 端口的.主机进行传播。

  中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,界面上谎称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。

  当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。

  Petya病毒感染文件后缀列表:

  .3ds .7z .accdb .ai .asp .aspx .avhd .back.bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz.h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd.vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

  从病毒样本中也可以看到攻击者邮件、Bitcoin地址、支付金额提示、感染文件类型等:

  防护策略建议:

  1. 不要轻易点击附件,尤其是.rtf、.doc等格式文件。

  2. 更新Windows操作系统补丁

  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

  3. 更新 Microsoft Office/WordPad(RTF)远程执行代码漏洞(CVE -2017-0199)补丁

  https://technet.microsoft.com/zh-cn/office/mt465751.aspx

  4. 启用windows防火墙,关闭137、139、445等相关端口;

  5. 使用HanSight Enterprise和HanSight NTA监控网络流量和主机行为,及时对告警排查处理。

【新勒索病毒Petya如何破】相关文章:

Petya 勒索病毒是什么06-29

2017全新勒索病毒爆发-如何防范勒索病毒06-29

如何预防勒索病毒05-17

电脑如何预防勒索病毒-预防“勒索病毒”操作步骤05-17

电脑勒索病毒如何防范06-29

中勒索病毒后如何清除05-17

Petya病毒怎么防范06-30

2017新勒索病毒再次席卷全球06-29

什么是勒索病毒05-17