事件分析
petya病毒样本运行之后,会枚举内网中的电脑,并尝试在等端口使用SMB协议进行连接。同时,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。当加密完成后,病毒才要求受害者支付价值美元的比特币之后,才会回复解密密钥。
根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款,其“吸金”速度完全超越了Wannacry。而最新消息显示,由于病毒作者的勒索邮箱已经被封,现在交赎金也无法恢复系统。
△伪装界面
△勒索界面
与Wannacry相比,Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。Petya病毒变种具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。
防范应对措施
01
安全操作提示
1.不要轻易点击不明附件,尤其是rtf、doc等格式,可以安装安全卫士、腾讯电脑管家等安全产品进行查杀。
2.及时更新windows系统补丁,具体修复方案请参考“永恒之蓝”漏洞修复工具。
3.内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。
02
下载修复工具
和腾讯安全中心发布了相关勒索蠕虫漏洞修复工具,工具集成了免疫、SMB服务关闭和各系统下MS17-漏洞检测及修复功能,可在离线网络环境下一键式修复系统存在的MS17-漏洞。
“永恒之蓝”勒索蠕虫漏洞修复工具下载
转载请注明:http://www.wangguoqiangq.com/sglbzy/7697.html
