北京時間2017年6月27日晚,烏克蘭等歐洲多國遭遇Petya勒索病毒襲擊�,政府��、銀行�����、電力系統(tǒng)�����、通訊系統(tǒng)���、企業(yè)以及機場都不同程度地受到了影響���,中國暫未受到攻擊�����,國內(nèi)反病毒實驗室對收集到的病毒樣本進行分析,發(fā)現(xiàn)Petya勒索病毒和Wannacry勒索病毒一樣都是通過永恒之藍漏洞進行傳播��,Petya勒索病毒怎么防御就成為大家關(guān)注的熱點�,要避免被Petya勒索病毒攻擊,大家還是需要及時更新系統(tǒng)漏洞補丁���,并安裝360等防毒軟件�。
相關(guān)教程:
永恒之藍漏洞修復補丁下載地址
Win7快速關(guān)閉135,137,138,139,445端口預防比特幣勒索病毒的方法
根據(jù)分析結(jié)果��,病毒樣本運行之后����,會枚舉內(nèi)網(wǎng)中的電腦,并嘗試在445等端口使用SMB協(xié)議進行連接�。
深入分析發(fā)現(xiàn),病毒連接時使用的是“永恒之藍”(EternalBlue)漏洞��,此漏洞在之前的WannaCry勒索病毒中也被使用�����,是造成WannaCry全球快速爆發(fā)的重要原因之一,此次Petya勒索病毒也借助此漏洞達到了快速傳播的目的����。
同時,病毒會修改系統(tǒng)的MBR引導扇區(qū)���,當電腦重啟時����,病毒代碼會在Windows操作系統(tǒng)之前接管電腦�,執(zhí)行加密等惡意操作。
電腦重啟后�����,會顯示一個偽裝的界面��,此界面實際上是病毒顯示的����,界面上假稱正在進行磁盤掃描,實際上正在對磁盤數(shù)據(jù)進行加密操作�。
當加密完成后���,病毒才露出真正的嘴臉,要求受害者支付價值300美元的比特幣之后���,才會回復解密密鑰��。
這個加密流程與2016年起出現(xiàn)的Petya勒索病毒的流程相似,但是不同的是���,之前的Petya病毒要求訪問暗網(wǎng)地址獲取解密密鑰���,而此次爆發(fā)的病毒直接留下了一個Email郵箱作為聯(lián)系方式。
Petya勒索病毒攻擊流程
1����、通過cve-2017-0199漏洞投放釣魚郵件。
2�����、閱讀釣魚郵件后觸發(fā)漏洞并釋放病毒母體��。
3����、利用MS17-010漏洞����,系統(tǒng)弱口令進行傳播(具備一定的域內(nèi)口令提取能力(類似mimikatz))
4���、勒索模塊會遍歷除C:\windows目錄外的其他目錄及文件�。并對指定后綴的文件內(nèi)容進行加密���。同時修改系統(tǒng)引導區(qū)�����,并添加定時任務�,完成后會使用自帶的wevtutil工具進行日志清理���,在一段時間后強制關(guān)閉機器��,再次開機將會收到勒索提示����。
建議防護策略
1�、不要輕易點擊不明附件����,尤其是rtf�����、doc等格式文件����。
2、內(nèi)網(wǎng)中存在使用相同賬號�、密碼情況的機器請盡快修改密碼��,未開機的電腦請確認口令修改完畢��、補丁安裝完成后再進行開機操作�。
3、更新操作系統(tǒng)補丁(MS)
補丁來源:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4����、更新Microsoft Office/WordPad遠程執(zhí)行代碼漏洞(CVE-2017-0199)
補丁來源:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5、禁用WMI服務
安裝安全狗服務器安全相關(guān)產(chǎn)品并使用安全狗云安全服務可以抵御該安全風險��。
以上就是Petya勒索病毒攻擊過程以及避免被Petya勒索病毒攻擊的介紹�����,大家一定要做好最新系統(tǒng)補丁的更新,防止被勒索病毒攻擊���。
