事件概述
北京时间2017年6月27日晚,据外媒消息,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。目前英、美、法德都有超过2,000计算机感染报告、乌克兰国家银行及电力公司都中招。受害人想解锁硬盘需支付价值$300美元的比特币,暂时已有32位受害者付费,总值大约$6,775美元。
此次黑客使用的是Petya勒索病毒的变种Petwarp,使用的攻击方式和WannaCry相同,都是远程锁定设备,然后索要赎金。但有别于Wannacry,Petya不会在后台偷偷加密你的档案,用户不会发觉计算机变慢。它中招后一小时内静静不动,然后强制蓝屏,停止响应,Reboot进行加密硬盘的MFT及修改MBR,整个过程超快。加密时会装扮成扫描及修护硬盘,让用户不敢打断(这是Windows停止响应后常见的事)完成后整个硬盘都不能再取存,将无法登陆Windows系统。因此破坏力比WannaCry强。
据赛门铁克最新发布的消息显示此次攻击时仍然使用了永恒之蓝勒索蠕虫,该病毒还会利用内置工具从Windows客户端及Domain Controller中偷取密码信息进行内网传播。由于密码复用现象和弱口令漏洞,导致Petya内网传播能力也很强。
病毒感染过程
Step 1 :
中招Petya后一小时后,计算机死机重启,然后扫描硬盘(一见这画面立即关机)
Step 2 :
完成加密后出现此画面,加密过程十分快速。
Step 3 :
然后会提示解锁要付$300美金的bitcoin,期间硬盘MFT被加密,不能进入Windows亦不能安装到其他计算机上作档案取存。
(病毒感染界面)
病毒信息
大规模影响时间:2017年6月27日
漏洞评级
高危
病毒影响
Petya和传统的勒索软件不同,不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动。如果想要恢复,需要支付价值相当于300美元的比特币。
修复建议
1.立刻安装微软针对SMB漏洞的MS17-010布丁。与防范Wannacry病毒一样禁用SMBv1。
2.立即更新杀毒软件。目前主流杀毒软件都已经发布了针对Petya的病毒样本更新。
3.立刻警告并培训终端用户加强对钓鱼邮件附件的防范。不要点击未知链接和附件,另外如果未设有登入密码或密码过于简单,请立即更改。
4.备份重要数据。重要文件进行本地磁盘冷存储备份,以及云存储备份。
5.限制管理员权限。Petya勒索病毒的运行需要管理员权限,企业网管可以通过严格审查限制管理员权限的方式减少攻击面,个人用户可以考虑使用非管理员权限的普通账号登陆进行日常操作。
6.关闭系统崩溃重启。Petya勒索病毒的“发病”需要系统重启,因此想办法避免系统重启也能有效防御Petya并争取漏洞修补或者文件抢救时间。大多数Windows系统都被设置为崩溃自动重启,用户可以在系统中手关闭此设置。只要系统不重新启动引导,病毒就没有机会加密MFT主文件分区表,用户就有机会备份磁盘中的文件。
--------------------------------------------------------------------------------------------------------------------------------
Petya uses the NSA Eternalblue exploit but also spreads in internal networks with WMIC and PSEXEC. That's why patched systems can get hit.
Twitter Mikko Hypponen@mikko
