當(dāng)前位置:首頁 >  IDC >  安全 >  正文

勒索病毒Petya席卷全球,金山云安全發(fā)布防范建議

 2017-06-28 14:50  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

6月27日晚,一種名為Petya的新型勒索病毒爆發(fā),快速席卷了俄羅斯、美國和烏克蘭等國家,并正向全球蔓延。與此前5月WannaCry病毒類似,感染該病毒電腦用戶也將被要求支付一定數(shù)量的加密數(shù)字貨幣才能解鎖。

金山云安全中心啟動安全檢測,確認(rèn)金山云客戶尚無感染案例。與此同時,通過金山云沙盒分析系統(tǒng)對感染樣本主機行為分析發(fā)現(xiàn),此次主要感染windows PE文件格式,linux 或者mac無須恐慌,但建議沒打補丁用戶盡快打補丁避免感染風(fēng)險。

根據(jù)金山云安全中心安全截取的樣本分析確認(rèn),此次攻擊網(wǎng)絡(luò)感染部分Petya釆用 “永恒之藍”的漏洞(MS17-010 SMB漏洞)做內(nèi)網(wǎng)感染,RTF漏洞(CVE-2017-0199)進行釣魚攻擊。

根據(jù)MALWAREINT的全網(wǎng)漏洞探測系統(tǒng)數(shù)據(jù):

備注:MS17-010PoC返回存在漏洞的主機數(shù)量。

發(fā)現(xiàn)在6月27日23點以后,全網(wǎng)感染主機數(shù)量增加。

RTF感染EXP,可以參考:

小結(jié):本次攻擊網(wǎng)絡(luò)部分主要是針對個人PC的攻擊和傳染。

金山云沙盒分析系統(tǒng)對感染樣本主機行為分析后,發(fā)現(xiàn)該病毒具有如下特征:

(1) Petya勒索軟件主要使用ms17-010 Poc、WMIC、PsExec等病毒組件完成傳播信息獲取。

(2) 磁盤API調(diào)用包括:"\\\\.\\PhysicalDrive"、"\\\\.\\PhysicalDrive0"、"\\\\.\\C:"、"TERMSRV"、"\\admin$"、"GetLogicalDrives"、"GetDriveTypeW"

(3) 勒索部分顯示信息包括:"CHKDSK is repairing sector"、"wowsmith123456@posteo.net"、"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX"

(4) 功能調(diào)用API:"OpenProcessToken"、"EnterCriticalSection"、"GetCurrentProcess"、"GetProcAddress"、"WriteFile"、"CoTaskMemFree"、"NamedPipe"

(5) 使用命令:主要是刪除Setup、System、Security、Application

例如:wevtutil cl Application 和fsutilusndeletejournal

(6) 使用任務(wù):"schtasks "、"/Create /SC "、"at %02d:%02d %ws"、"shutdown.exe /r /f"

小結(jié):包含以上特征的調(diào)用視為Petya。

如何防范:

(1) 如果你的企業(yè)架構(gòu)中存在windows服務(wù)器,建議使用公有云平臺的VPC網(wǎng)絡(luò)安全組,防范企業(yè)內(nèi)網(wǎng)感染,降低攻擊面。

(2) 如果你的企業(yè)中存在郵件系統(tǒng),建議更新自己的反病毒郵件網(wǎng)關(guān)的病毒定義,或者對進入企業(yè)內(nèi)網(wǎng)的郵件附件做安全掃描,防止病毒通過RTF漏洞傳播。

(3) 使用金山云安全產(chǎn)品KHS更新安全補丁。

(4) 使用金山云主機快照定期對服務(wù)器上的數(shù)據(jù)盤進行備份。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

熱門排行

信息推薦