中心简介  信息公告  文件制度  服务指南  工作动态  网络法规进校园  安全提示 
关于防范Petya勒索病毒的通知
 

安全通告

北京时间6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇了Petya勒索病毒变种袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。目前我国也发现有用户感染Petya勒索病毒变种。

此次黑客使用的是Petya勒索病毒变种,该变种攻击方式与WannaCry相同,都是利用MS17-010(”永恒之蓝”)漏洞传播,不同于传统勒索软件加密文件的行为,Petya勒索病毒采用磁盘加密方式,通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,限制对系统的访问。此次黑客勒索金额为300美元比特币。

事件分析

据国外安全人员分析,Petya勒索病毒变种通过带有DOC文档的垃圾邮件附件进行传播,通过Office CVE-2017-0199漏洞来触发攻击。

http://static.cdn.responsys.net/i2/responsysimages/tmb2b/contentlibrary/cnrtl/Petyaupdate.files/image002.jpg

【携带CVE-2017-0199漏洞的垃圾邮件范例】

Petya勒索病毒变种通过PsExec 工具和”永恒之蓝”漏洞在内网进行传播。PsExec工具是微软的实用工具之一,用于在远程系统上运行进程。黑客通常用该工具在内网进行渗透。具体感染流程如下:

ü Petya勒索病毒变种通过PsExec 工具和”永恒之蓝”漏洞进入系统;

ü 利用rundll32.exe进程自启动;

ü 在windows文件夹中生成真正的加密程序perfc.dat(文件名可能会发生变化);

ü 修改主引导记录(MBR);

ü 重启后显示勒索信息;

http://static.cdn.responsys.net/i2/responsysimages/tmb2b/contentlibrary/cnrtl/Petyaupdate.files/image003.png

【Petya勒索病毒变种感染流程】

Petya勒索软件变种通过添加计划任务,设置被感染计算机在一个小时内重新启动。当系统重启时显示虚假的磁盘检查界面,实际上加密程序正在对磁盘进行加密操作。

http://static.cdn.responsys.net/i2/responsysimages/tmb2b/contentlibrary/cnrtl/Petyaupdate.files/image004.png

【虚假的磁盘检查通知】

和其它勒索软件不同的是,Petya勒索软件变种不会修改被加密文件的后缀名。其会加密超过60种不同扩展名的文件,这些扩展名都是企业日常使用的文件类型;而相对于其他勒索病毒热衷的图片和视频文件,Petya勒索病毒变种并不会对其进行加密。

除了利用”永恒之蓝”漏洞外, Petya勒索病毒变种还有一些与WannaCry类似之处,如赎金支付过程相对简单: Petya勒索病毒变种也是使用一个硬编码的比特币地址,与早期的Petya勒索病毒相比较,此次变种的UI界面更友好。

http://static.cdn.responsys.net/i2/responsysimages/tmb2b/contentlibrary/cnrtl/Petyaupdate.files/image005.png

【提示勒索信息】

Petya勒索病毒变种要求每个受害者需要支付相当于300美元的比特币。截至目前, 大约7500美元已支付到上述比特币地址。但是,勒索信息中提及的电子邮件地址,目前已经停止访问,我们建议用户不要支付赎金。

http://static.cdn.responsys.net/i2/responsysimages/tmb2b/contentlibrary/cnrtl/Petyaupdate.files/image006.jpg

【勒索信息中提及的邮件地址已经停止访问】

处置建议

安全操作提示:

ü 不要轻易点击来源不明附件,尤其是rtf、doc等格式。

ü 及时更新Windows系统及Office补丁程序。

ü 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)

ü 确保电脑安装最新版的杀毒软件,并将杀毒软件病毒库升级为最新版本,并对电脑进行杀毒

ü 备份好数据,防患于未然

关闭窗口
版权声明:西安美术学院信息中心|站点维护:信息中心版权所有|联系电话:029-88232897|陕ICP备02102
地址:陕西省西安市雁塔区含光南路100号西安美术学院  710065