6.28勒索新變異病毒Petya破解補丁,在昨天6月27日晚間時候(歐洲6月27日下午時分),新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導致歐洲多國的多個組織、多家企業的系統出現癱瘓。
6.28勒索新變異病毒Petya背景
在6月23號我們向您通報了有關“5.12WannaCry”勒索病毒新變種肆虐的消息之后(該次應急通報的具體內容請查看第7-10頁),在昨天6月27日晚間時候(歐洲6月27日下午時分),新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導致歐洲多國的多個組織、多家企業的系統出現癱瘓。
新變異病毒(Petya)不僅對文件進行加密,而且直接將整個硬盤加密、鎖死,在出現以下界面并癱瘓后,其同時自動向局域網內部的其它服務器及終端進行傳播:
本次新一輪變種勒索病毒(Petya)攻擊的原理
經普華永道網絡安全與隱私保護咨詢服務團隊的分析,本次攻擊的病毒被黑客進行了更新,除非防病毒軟件已經進行了特征識別并且用戶端已經升級至最新版病毒庫,否則無法查殺該病毒,病毒在用戶點擊帶病毒的附件之后即可感染本地電腦并對全盤文件進行加密,之后向局域網其它服務器及終端進行自動傳播。
以上所述的Petya病毒攻擊及傳播原理,與“5.12WannaCry”以及“6.23勒索軟件新變種”病毒的攻擊及傳播原理一致,不同點在于:
1.感染并加密本地文件的病毒進行了更新,殺毒軟件除非升級至最新版病毒庫,否則無法查殺及阻止其加密本機文件系統;
2.“5.12WannaCry”及“6.23勒索軟件新變種”在傳播方面,分別利用了微軟Windows系統的一個或者若干個系統漏洞,而Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統漏洞,包括MS17-010(5.12WannaCry永恒之藍勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補丁對應的多個系統漏洞進行傳播。
3.本次新變異病毒(Petya)是直接將整個硬盤加密和鎖死,用戶重啟后直接進入勒索界面,若不支付比特幣將無法進入系統。
應對建議
目前優先處理步驟如下:
1、補丁修復(如已按我們之前的通報,升級所有補丁,則可略過此步驟)
2、殺毒軟件升級及監控
3、提升用戶信息安全意識度
1.補丁修復
如前所述,本次Petya利用了“5.12WannaCry”及“6.23勒索軟件新變種”的所有漏洞,因此,補丁方面必須完成“5.12WannaCry”及“6.23勒索軟件新變種”對應的所有補丁,包括:
(可聯系我們索取以上漏洞及補丁原文件)
廠商無補丁或無法補丁的修復建議:
端口限制:使用系統自帶的防火墻設置訪問規則,即使用系統自帶的防護墻,設置遠程訪問端口137、139、445、3389的源IP:
3389端口設置:
Windows 2003:通過防火墻策略限制訪問源IP
Windows 2008:在組策略中關閉智能卡登錄功能:
組策略(gpedit.msc)-->管理模板-->Windows組件-->智能卡
2.殺毒軟件升級及監控
聯系貴公司防病毒軟件解決方案供應商,確認其最新病毒庫已經可以查殺Petya病毒;升級相應病毒庫并推送至所有服務器及主機。
3.提升用戶信息安全意識度:
本次Petya病毒的感染源頭依然是通過電子郵件向用戶發送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開),所以提升用戶信息安全意識度是關鍵的應對措施之一。
用戶下載文件包中如發現包含有異常的附件,則必須注意該附件的安全,在無法確定其安全性的前提下,提醒用戶不要打開。
建議進一步加強對高管及用戶的信息安全意識度宣貫,并且需要結合最新的信息安全趨勢或者熱點問題進行不同主題的宣貫,而且要持之以恒。
WannaCry勒索病毒攻擊者利用Windows系統默認開放的445端口在企業內網內進行病毒傳播與擴散,并且更為嚴重的是,攻擊者不需要用戶進行任何操作即可自行進行病毒的感染與擴散。感染后的設備上所有的文件都將會被加密,無法讀取或者修改,也即造成了整個系統的癱瘓:
在5月13號,普華永道網絡安全法及隱私保護咨詢服務團隊向您做出了及時的通報,并提供了有關的應對建議,同時協助許多客戶進行了應對操作(譬如立即修補有關系統補丁,如MS17-010補丁等)。
在6月13日,微軟發布了Windows系統的新漏洞通報(“CVE-2017-8543、CVE-2017-8464”),并且提供了有關的補丁。在昨天(6月22日),黑客利用微軟Windows系統的上述新漏洞,開發出新變種的勒索病毒,并在過去幾天向互聯網展開了初步攻擊,由于感染及傳播需要一定的時間,因此,攻擊效果集中于昨天出現。截至今日,主要受攻擊及影響的對象集中于工廠、酒店、醫院及零售行業。
本次新一輪變種勒索病毒攻擊的原理:
本次攻擊利用了微軟Windows系統的兩個新漏洞“CVE-2017-8543、CVE-2017-8464”,該病毒利用以下方式來攻擊并加密被攻擊對象系統中的文件:
1.利用Window Search(Windows Search的功能是為我們電腦中的文件、電子郵件和其他內容提供內容索引、屬性緩存和搜索結果,默認的服務狀態是處于開啟的狀態)漏洞來提高權限并遠程執行加密命令,從而達到對全盤文件進行加密的結果;
2.自動創建Windows快捷方式LNK(.lnk),通過LNK來提高權限,并對文件進行加密。
在加密過程中,全程都沒有任何彈框提示就直接加密文件或導致電腦藍屏(這是與5.12勒索病毒軟件不同的其中一個特點)。
應對建議
目前優先處理步驟如下:
1、補丁修復
2、添加郵件網關黑名單
3、殺毒軟件升級及監控
4、提升用戶信息安全意識度
1.補丁修復:
目前微軟已發出補丁,下載地址如下:
https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
具體操作指南:
先打開https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms,會看到CVE-2017-8543、CVE-2017-8464,找到相應版本的補丁進行下載(目前XP、Window2003不受影響),并執行相應主機及個人電腦的補丁升級。
2.添加郵件網關文件黑名單
在原有的黑名單上,增加如下后綴:
.lnk
.link
3.殺毒軟件升級及監控
3.1.病毒庫升級及推送至所有服務器及主機;
3.2.殺毒軟件控制臺監控:
查看殺毒軟件控制臺查看報警信息,如是否有入侵事件,如針對SMB攻擊(如SMB BoublePulsar ping、溢出攻擊),對已感染的進行處理;
注:下面為某客戶受到攻擊時的異常事件日志信息,僅供參考:
本次新勒索病毒變種,雖然是利了微軟Windows系統的新系統漏洞,但其感染源頭依然是通過電子郵件向用戶發送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開),所以提升用戶信息安全意識度是關鍵的應對措施之一。
用戶下載文件包中如發現包含有異常的附件(本次是.lnk/.link的文件),則必須注意該附件的安全,在無法確定其安全性的前提下,提醒用戶不要打開。
建議進一步加強對高管及用戶的信息安全意識度宣貫,并且需要結合最新的信息安全趨勢或者熱點問題進行不同主題的宣貫,而且要持之以恒。
Petya勒索病毒CVE-2017-0199漏洞補丁1.01 最新版
馬保國殺毒衛士1.0綠色版
云南農村信用網銀助手2.0.15.709官方版
AutoCAD Virus Cleaner(CAD殺毒軟件)1.62 綠色版
Avast Pro Antivirus18.5.2342 簡體中文高級版
瑞星之劍勒索病毒防御軟件1.0.0.68 綠色版
Xshell后門查殺工具1.0 免費版
Allcry解密工具1.0.0.1 免費版
Meltdown&Spectre檢測工具1.0.0.1 免費版
小紅傘Avira Antivirus Pro 201815.0.36.200 中文授權版(附證書地址)
ESET工作站防護高級版6.6.2078.5中文正式版
3DMax病毒查殺腳本1.0 綠色免費版
Max殺毒衛士1.81 官方版
3dmax病毒清理大師1.0 官方版
電腦管家Globelmposter勒索病毒攔截查殺工具12.12 官方版
360 Skygofree惡意軟件查殺工具最新免費版
360殺毒離線升級包171026安裝版最新版
ESET NOD32防病毒軟件簡體中文版v11.0.144.0正式版【附激活密鑰】
BadRabbit勒索病毒查殺工具360最新版
Bad Rabbit勒索病毒360防護版安全版
壞兔子Bad Rabbit勒索病毒查殺修復工具正式版
壞兔子(Bad Rabbit)病毒查殺軟件最新免費版
金山毒霸電腦版15.2023.2.4.061900.1335 官方版
瑞星殺毒軟件V17官方版25.0.9.32 免費版
江民速智版殺毒軟件V19免費版
2020卡巴斯基反病毒軟件20.0.14.1085免費版
火絨互聯網安全軟件5.0.25.8 官方版
金山毒霸木馬專殺工具11.4.6 最新官方版
360安全衛士U盤病毒專殺工具2.1 免費版
德國小紅傘殺毒軟件(Avira AntiVir Personal)2020免費中文版
360殺毒正式版5.0.0.8160 官方版64位
U盤殺毒專家(USBKiller)3.22 官方單機版
大蜘蛛殺毒軟件(Dr.Web)12.0 官方最新版
熊貓燒香病毒專家V1.0 綠色中文版
u盤病毒專殺工具usbcleanerV6.0中文綠色免費
srv病毒專殺工具(Symantec Ramnit Removal 
Linux版360安全衛士3.0.0.71 官網正式版
360殺毒軟件7.0.0.1030 官方版【32&64】
arp病毒檢測工具(ARP Detect)v1.0 綠色版
360殺毒4.0.0.4033 單文件綠色版
mydocument病毒查殺軟件1.0 最新版