烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國正在遭遇Petya勒索病毒襲擊,政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。
烏克蘭內政部官員Anton Gerashchenko在Facebook上寫道,該入侵是“烏克蘭歷史上最大的`一次”,其目標是“動搖不穩定的經濟形勢和公民意識”,儘管它被“偽裝成勒索企圖”。據爆料,其中烏克蘭副總理的電腦亦遭受攻擊。
根據研究發現,攻擊事件中的病毒屬於 Petya勒索者的變種 Petwrap,可能的傳播渠道是:病毒使用 Microsoft Office/WordPad(RTF)遠端執行程式碼漏洞(CVE -2017-0199)通過電子郵件進行傳播,感染成功後利用“永恆之藍”漏洞(MS17-010),在內網中尋找開啟 445 埠的主機進行傳播。
中毒後,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒程式碼會在Windows作業系統之前接管電腦,執行加密等惡意操作。電腦重啟後,會顯示一個偽裝的介面,介面上謊稱正在進行磁碟掃描,實際上正在對磁碟資料進行加密操作。
當加密完成後,病毒要求受害者支付價值300美元的比特幣之後,才會回覆解密金鑰。
Petya病毒感染檔案字尾列表:
.3ds .7z b .c .h .ppt.pptx .rtf
從病毒樣本中也可以看到攻擊者郵件、Bitcoin地址、支付金額提示、感染檔案型別等:
防護策略建議:
1. 不要輕易點選附件,尤其是.rtf、等格式檔案。
2. 更新Windows作業系統補丁
3. 更新 Microsoft Office/WordPad(RTF)遠端執行程式碼漏洞(CVE -2017-0199)補丁
4. 啟用windows防火牆,關閉137、139、445等相關埠;
5. 使用HanSight Enterprise和HanSight NTA監控網路流量和主機行為,及時對告警排查處理。
