昨日晚间,一款名为“Petya”的新型变种勒索病毒席卷了欧洲,乌克兰、俄罗斯等国家均受影响,多家银行和公司,包括政府大楼的主机纷纷中招,无奈之下,多个重要信息系统的主机之后被关闭,使得部分服务被迫中断。据安全公司知道创宇获悉,我国国内也有企业感染了这一新型勒索病毒,可能的数量甚至达到了数以万计。
新勒索病毒传播机制更完善
“Petya”勒索病毒一旦被激活,将对用户主机硬盘生成新的主引导记录(MBR),随后添加定时重启任务,对磁盘进行加密,并试图进一步感染内网主机,定时任务重启过后系统将加载至勒索页面,使用户完全无法对主机进行任何操作。勒索信息显示,用户需向对方支付价值美金的比特币。
勒索页面
“Petya”与上个月爆发的“WannaCry”类似,但又有不同之处,据知道创宇安全研究人员披露,此次爆发的“Petya”要更为复杂,其特点主要是采用了多种手段结合的方式实现入侵传播,而入侵的主要手段猜测是利用了Word的漏洞(CVE--)进行摆渡,但具体样本需要进一步确认。
样本分析显示具有内网扩散性
同时“Petya”在内网传播上结合了更多的传播手段和技巧,其中“WannaCry”所利用的永恒之蓝漏洞(MS17-)也被这次变种所利用,并且为了实现更大面积的扩散,样本分析发现该勒索病毒还调用了类似mimikatz黑客渗透工具以获取感染机器的用户及口令,从而进一步对内网进行渗透,如内网采用的是通用口令,其目的将会实现。
内网安全需进一步提高
知道创宇安全研究人员认为,从这次勒索病毒的特点来看,多种方式的结合攻击将是今后勒索攻击方式的趋势,甚至是基于APT手段攻击发起,再结合内网渗透与传统蠕虫手段进行进一步传播,这也导致了内网及隔离网络的被攻击可能性越来越大,内网的安全有必要上升到一个新的高度才能够应对防范。
好的一方面是,虽然这次病毒不排除大规模传播的可能性,但是刚刚经过了“WannaCry”的洗礼后,国内很多的单位在安全方面都有所加强,包括升级修复补丁,不过根据国外(乌克兰等)的情况来看,还是有不少内网隔离网络没有及时修复及防御漏洞,另外就算是及时安装了最新补丁,在安全意识上也还需要不断加强,如注意防范弱口令攻击等,因为在实际的渗透工作中弱口令传播是非常常见的。
如何开启应对防范措施?
最关键的,我们最先要做的就是最快速度的为系统打上补丁,这次勒索事件可能主要涉及这两个漏洞MS17-,CVE--,一个是微软系统漏洞,一个是微软办公软件Word的漏洞,其补丁下载地址如下:
○
转载请注明:http://www.wangguoqiangq.com/sglbzy/7601.html
