最新病毒库日期:
  • 江民杀毒软件已全面查杀Petya勒索病毒
2017-06-28 06:12 来源:未知
【文章摘要】新一轮的勒索病毒Petya正在席卷欧洲,国内也有企业中招,江民杀毒软件已经全面查杀该病毒,并第一时间推出了专杀工具。
1、病毒预警
2017年6月27日晚,欧洲正在遭到新一轮勒索病毒的冲击,该病毒变种名为Petya,英国、乌克兰、俄罗斯等都受到了不同程度的影响,该病毒和永恒之蓝勒索软件很类似,都是远程锁定设备,然后索要赎金。
据外媒报道,英国最大广告公司 WPP是第一家被爆受到波及的公司,员工们已经被告知关闭电脑,并且不要使用公司 WiFi。此外,俄罗斯石油公司 Rosneft、丹麦航运巨头 AP Moller-Maersk 也都遭到了攻击,据悉,国内也已有企业中招。
WannaCry病毒事件似乎已经渐渐平息,但安全威胁永远不会消失,而且经常会更加凶猛。江民反病毒中心将持续关注病毒事件发展,在此,江民科技提醒广大用户和网友提高警惕,做好相应防范工作。江民网络版杀毒(企业版)和速智版杀毒(个人版)可以查杀该病毒,用户更新到最新病毒库即可查杀。
https://mmbiz.qlogo.cn/mmbiz_jpg/hglVF2zA7QicRaFR3pUl77C9ibfclhyiceXUJDIszQyPpVtCWTNZevdcuianIX3XtiascOgWsIcH5jnYicCcHiaa1Xgbw/0?wx_fmt=jpeg
针对部分用户需求,江民科技还推出了了专杀工具,下载地址:
http://filedown.jiangmin.com/MS17-010/Petya勒索病毒专杀.exe
https://mmbiz.qlogo.cn/mmbiz_png/hglVF2zA7QicRaFR3pUl77C9ibfclhyiceXJ6Fq4DBvSgNk26cYcYhXicm9JwtqgZKzr5TClHtunJhnOAJ8UdUF0Hg/0?wx_fmt=png
使用专杀工具一键解决Petya勒索病毒
https://mmbiz.qlogo.cn/mmbiz_png/hglVF2zA7QicRaFR3pUl77C9ibfclhyiceXw9B2oHGCXibTgCP5Lke3cn8lDahLqR7CwicXg4M2xGBJLMrRiaFrFujkw/0?wx_fmt=png
2、病毒描述
江民反病毒实验室研究发现,这次攻击是勒索病毒Petya的新变种,这一变种的传播组合采用了邮件、下载器和蠕虫的方式。该病毒依旧通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播,江民反病毒中心已经获取了本次病毒的样本名称Trojan.RansomPetya.a。据悉,该病毒和勒索软件很类似,都是远程锁定设备,然后索要赎金,还会获取系统用户名与密码进行内网传播。中毒电脑启动后显示支付价值300美元比特币的界面,无法正常登录系统。
https://mmbiz.qlogo.cn/mmbiz_jpg/hglVF2zA7QicRaFR3pUl77C9ibfclhyiceXgZgO41gsxXH2UyyV2kg0qHRHumoDCD7c88hIwAc4sTIzrjbUiajzTeA/0?wx_fmt=jpeg
江民反病毒专家表示,Petya病毒已确认是通过永恒之蓝漏洞进行传播,攻击手段也十分类似,但也有一些不同之处:
该病毒不再加密单个文件而是加密NTFS分区、覆盖MBR、阻止机器正常启动,影响更加严重。攻击者通过发送恶意的求职邮件进行鱼叉攻击。
Petya和其他流行勒索软件不一样,它是通过攻击底层的磁盘架构达到无法访问整个系统的目的。恶意软件的作者不仅创建了自身的引导程序,而且还创建了一个微型的内核,长度为32节区。Petya释放的文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。Petya声称加密了所有的磁盘,但事实不是这样。相反它只加密了主文件表,因此文件系统不可读。
该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力,对内网安全总体上比此前受到广泛关注的WannaCry有更大的威胁。
3、如何防御?
江民安全专家建议用户做好以下防范措施:
1、补丁修复
目前微软已发出补丁,下载地址如下:
https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms会看到CVE-2017-8543、CVE-2017-8464的漏洞编号,找到相应版本的补丁进行下载(目前XP、Window2003不受影响),并执行相应主机及个人电脑的补丁升级。
2、添加邮件网关黑名单
在原有的黑名单上,增加如下后缀:.lnk及.link。用户下载文件包中如发现包含有异常的附件(本次是.lnk/.link的文件),则必须注意该附件的安全,在无法确定其安全性的前提下,提醒用户不要打开;
3、升级杀毒软件病毒库,江民杀毒软件已经全面防御Petya病毒及类似勒索病毒;
4、禁用WMI服务
5、提升用户信息安全意识度
本次新勒索病毒变种,虽然是利了微软Windows系统的新系统漏洞,但其感染源头依然是通过电子邮件向用户发送勒索病毒文件的形式(或者是用户主动下载带病毒的软件并打开),所以提升用户信息安全意识度是关键的应对措施之一。