6月27日晚間(歐洲6月27日下午時(shí)分),新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導(dǎo)致歐洲多國多個(gè)組織、多家企業(yè)的系統(tǒng)出現(xiàn)癱瘓,距今年5月感染全球150多個(gè)國家的Wannacry勒索病毒事件僅一個(gè)多月。
傳播機(jī)制:系勒索病毒新變種傳播速度更快
與5月爆發(fā)的Wannacry相比,Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA“永恒之藍(lán)”等黑客武器攻擊系統(tǒng)漏洞,還會(huì)利用“管理員共享”功能在內(nèi)網(wǎng)自動(dòng)滲透。在歐洲國家重災(zāi)區(qū),新病毒變種的傳播速度達(dá)到每10分鐘感染5000余臺(tái)電腦,多家運(yùn)營商、石油公司、零售商、機(jī)場(chǎng)、銀行ATM機(jī)等企業(yè)和公共設(shè)施已大量淪陷,甚至烏克蘭副總理的電腦也遭到感染。
烏克蘭國有銀行oschadbank的ATM機(jī)被攻擊
據(jù)國家信息技術(shù)安全中心處長肖彪介紹,目前,烏克蘭似乎是“Petya”受打擊最嚴(yán)重的國家之一。 該國政府、一些國內(nèi)銀行和能源公司今天都發(fā)出了警報(bào),他們正在處理來自Petya感染的后果。
“此次攻擊是勒索病毒‘必加’(Petya)的新變種”,肖彪介紹,該變種疑似采用了郵件、下載器和蠕蟲的組合傳播方式,之后通過MS17-010(永恒之藍(lán))漏洞和系統(tǒng)弱口令進(jìn)行內(nèi)網(wǎng)傳播。同時(shí),經(jīng)過初步分析發(fā)現(xiàn),Petya捆綁了一個(gè)名為“LSADump”的工具,可以從Windows計(jì)算機(jī)和網(wǎng)絡(luò)上的域控制器收集密碼和憑證數(shù)據(jù)。
因此,Petya勒索病毒對(duì)內(nèi)網(wǎng)總體上比此前受到廣泛關(guān)注的“魔窟”(WannaCry)有更大的威脅,而多種傳播手段組合的模式必將成為勒索軟件傳播的常態(tài)模式。
360首席安全工程師鄭文彬介紹說,Petya勒索病毒最早出現(xiàn)在2016年初,以前主要利用電子郵件傳播。最新爆發(fā)的類似Petya的病毒變種則具備了全自動(dòng)化的攻擊能力,即使電腦打齊補(bǔ)丁,也可能被內(nèi)網(wǎng)其他機(jī)器滲透感染。
影響:目前對(duì)經(jīng)濟(jì)損失不是很重但值得警惕
記者了解到,新變異病毒(Petya)不僅只對(duì)文件進(jìn)行加密,而且直接將整個(gè)硬盤加密、鎖死,在出現(xiàn)以下界面并癱瘓后,其同時(shí)自動(dòng)向局域網(wǎng)內(nèi)部的其它服務(wù)器及終端進(jìn)行傳播。
Petya要求受害者通過Tor網(wǎng)絡(luò)支付300美金贖金來解鎖相關(guān)被加密文件,但是目前大量證據(jù)表明即使支付贖金也無法進(jìn)行解密文件。
肖彪指出,勒索病毒在西方已經(jīng)非常流行,已經(jīng)形成黑色產(chǎn)業(yè)鏈,大量郵件中夾雜勒索軟件,目前沒有明顯證據(jù)證明該次勒索病毒對(duì)歐洲國家產(chǎn)生太大的經(jīng)濟(jì)影響,但是值得警惕,一旦后面出現(xiàn)大規(guī)模爆發(fā)可能會(huì)產(chǎn)生更大影響。目前我國已經(jīng)有極少數(shù)單位出現(xiàn)被Petya感染的情況。
歐洲超市petya被攻擊
“勒索軟件的解密是非常困難的,如果文件被加密,暫時(shí)還沒有非常有效的解決辦法,因此我們要注重加強(qiáng)防范。”肖彪提到,或許我們可以考慮從新的領(lǐng)域防范,如云盤等。隨著勒索軟件被越來越多人熟知,可能會(huì)有更大一部分用戶考慮備份數(shù)據(jù)。
防范:我國應(yīng)對(duì)能力很強(qiáng)十幾年前已有措施
目前,網(wǎng)絡(luò)安全相關(guān)主管部門已經(jīng)下發(fā)了針對(duì)此次蠕蟲的風(fēng)險(xiǎn)提示以及防范意見。
對(duì)于防范措施,肖彪表示,國內(nèi)已經(jīng)有了各種非常好的防范手段,包括之前Wannacry在內(nèi),在國內(nèi)沒有產(chǎn)生太大的影響。早在十多年前,我國運(yùn)營商管理部門已經(jīng)要求運(yùn)營商將445端口、139端口等進(jìn)行了屏蔽,風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)等也有具體的內(nèi)網(wǎng)的隔離、補(bǔ)丁安裝、端口關(guān)閉等要求。“我們不是沒有做應(yīng)急,而是一直以來都在做”,他指出,正因如此類似勒索病毒對(duì)我國影響沒有想象中那么大。
據(jù)了解,當(dāng)前的具體防范措施有如下方式:
1、 郵件防范
由于此次“必加”(Petya)勒索軟件變種首次傳播通過郵件傳播,所以應(yīng)警惕釣魚郵件。建議收到帶不明附件的郵件,請(qǐng)勿打開;收到帶不明鏈接的郵件,請(qǐng)勿點(diǎn)擊鏈接。
2、更新操作系統(tǒng)補(bǔ)丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
3、更新Microsoft Office/WordPad遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2017-0199)補(bǔ)丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
4、 禁用WMI服務(wù)
禁用操作方法:https://zhidao.baidu.com/question/91063891.html
5、關(guān)閉IPC共享以及防止采用空口令和弱口令
關(guān)閉IPC共享和請(qǐng)及時(shí)加強(qiáng)操作系統(tǒng)口令。
6、做好其他常規(guī)安全工作
