勒索病毒Petya来袭怎么办
电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵,对于之前爆发的一个勒索病毒,下面就详情来看看最新Petya勒索病毒的应对处理方法,希望对大家有帮助
背景:
在6月23号我们向您通报了有关“5.12WannaCry”勒索病毒新变种肆虐的消息之后(该次应急通报的具体内容请查看第7-10页),在昨天6月27日晚间时候(欧洲6月27日下午时分),新一轮的勒索病毒变种(本次名为Petya)又再一次袭击并导致欧洲多国的多个组织、多家企业的系统出现瘫痪。
新变异病毒(Petya)不仅对文件进行加密,而且直接将整个硬盘加密、锁死,在出现以下界面并瘫痪后,其同时自动向局域网内部的其它服务器及终端进行传播:
本次新一轮变种勒索病毒(Petya)攻击的原理:
经普华永道网络安全与隐私保护咨询服务团队的分析,本次攻击的病毒被黑客进行了更新,除非防病毒软件已经进行了特征识别并且用户端已经升级至最新版病毒库,否则无法查杀该病毒,病毒在用户点击带病毒的附件之后即可感染本地电脑并对全盘文件进行加密,之后向局域网其它服务器及终端进行自动传播。
以上所述的Petya病毒攻击及传播原理,与“5.12WannaCry”以及“6.23勒索软件新变种”病毒的攻击及传播原理一致,不同点在于:
1.感染并加密本地文件的病毒进行了更新,杀毒软件除非升级至最新版病毒库,否则无法查杀及阻止其加密本机文件系统;
2.“5.12WannaCry”及“6.23勒索软件新变种”在传播方面,分别利用了微软Windows系统的一个或者若干个系统漏洞,而Petya综合利用了“5.12WannaCry”及“6.23勒索病毒新变种”所利用的所有Windows系统漏洞,包括MS17-010(5.12WannaCry永恒之蓝勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新变种)等补丁对应的多个系统漏洞进行传播。
3.本次新变异病毒(Petya)是直接将整个硬盘加密和锁死,用户重启后直接进入勒索界面,若不支付比特币将无法进入系统。
应对建议:
目前优先处理步骤如下:
1、补丁修复(如已按我们之前的通报,升级所有补丁,则可略过此步骤)
2、杀毒软件升级及监控
3、提升用户信息安全意识度
1.补丁修复:
如前所述,本次Petya利用了“5.12WannaCry”及“6.23勒索软件新变种”的所有漏洞,因此,补丁方面必须完成“5.12WannaCry”及“6.23勒索软件新变种”对应的所有补丁,包括:
(可联系我们索取以上漏洞及补丁原文件)
厂商无补丁或无法补丁的修复建议:
端口限制:使用系统自带的防火墙设置访问规则,即使用系统自带的防护墙,设置远程访问端口137、139、445、3389的源IP:
3389端口设置:
Windows 2003:通过防火墙策略限制访问源IP
Windows 2008:在组策略中关闭智能卡登录功能:
组策略(gpedit.msc)-->管理模板-->Windows组件-->智能卡
2.杀毒软件升级及监控
联系贵公司防病毒软件解决方案供应商,确认其最新病毒库已经可以查杀Petya病毒;升级相应病毒库并推送至所有服务器及主机。
3.提升用户信息安全意识度:
本次Petya病毒的感染源头依然是通过电子邮件向用户发送勒索病毒文件的形式(或者是用户主动下载带病毒的软件并打开),所以提升用户信息安全意识度是关键的应对措施之一。
用户下载文件包中如发现包含有异常的附件,则必须注意该附件的安全,在无法确定其安全性的前提下,提醒用户不要打开。
建议进一步加强对高管及用户的信息安全意识度宣贯,并且需要结合最新的信息安全趋势或者热点问题进行不同主题的宣贯,而且要持之以恒。
WannaCry勒索病毒攻击者利用Windows系统默认开放的445端口在企业内网内进行病毒传播与扩散,并且更为严重的是,攻击者不需要用户进行任何操作即可自行进行病毒的感染与扩散。感染后的设备上所有的文件都将会被加密,无法读取或者修改,也即造成了整个系统的瘫痪:
在5月13号,普华永道网络安全法及隐私保护咨询服务团队向您做出了及时的通报,并提供了有关的应对建议,同时协助许多客户进行了应对操作(譬如立即修补有关系统补丁,如MS17-010补丁等)。
在6月13日,微软发布了Windows系统的新漏洞通报(“CVE-2017-8543、CVE-2017-8464”),并且提供了有关的补丁。在昨天(6月22日),黑客利用微软Windows系统的上述新漏洞,开发出新变种的勒索病毒,并在过去几天向互联网展开了初步攻击,由于感染及传播需要一定的时间,因此,攻击效果集中于昨天出现。截至今日,主要受攻击及影响的对象集中于工厂、酒店、医院及零售行业。
相关阅读:2018网络安全事件:
一、英特尔处理器曝“Meltdown”和“Spectre漏洞”
2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。
二、GitHub 遭遇大规模 Memcached DDoS 攻击
2018年2月,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万 Memcached 服务器暴露在网上 。
三、苹果 iOS iBoot源码泄露
2018年2月,开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码,泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示,这是 iOS 历史上最严重的一次泄漏事件。
四、韩国平昌冬季奥运会遭遇黑客攻击
2018年2月,韩国平昌冬季奥运会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场。
五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪
2018年2月中旬,工业网络安全企业 Radiflow 公司表示,发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU,致欧洲废水处理服务器瘫痪 。
Radiflow 公司称,此次事故是加密货币恶意软件首次对关键基础设施运营商的运营技术网络展开攻击。由于受感染的服务器为人机交互(简称HMI)设备,之所以导致废水处理系统瘫痪,是因为这种恶意软件会严重降低 HMI 的运行速度。
勒索病毒Petya来袭怎么办相关文章:
