乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。
乌克兰内政部官员Anton Gerashchenko在Facebook上写道,该入侵是“乌克兰历史上最大的一次”,其目标是“动摇不稳定的经济形势和公民意识”,尽管它被“伪装成勒索企图”。据爆料,其中乌克兰副总理的电脑亦遭受攻击。
根据研究发现,攻击事件中的病毒属于 Petya勒索者的变种 Petwrap,可能的传播渠道是:病毒使用 Microsoft Office/WordPad(RTF)远程执行代码漏洞(CVE -2017-0199)通过电子邮件进行传播,感染成功后利用“永恒之蓝”漏洞(MS17-010),在内网中寻找打开 445 端口的.主机进行传播。
中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,界面上谎称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。
当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
Petya病毒感染文件后缀列表:
.3ds .7z b .c .h .ppt.pptx .rtf
从病毒样本中也可以看到攻击者邮件、Bitcoin地址、支付金额提示、感染文件类型等:
防护策略建议:
1. 不要轻易点击附件,尤其是.rtf、等格式文件。
2. 更新Windows操作系统补丁
3. 更新 Microsoft Office/WordPad(RTF)远程执行代码漏洞(CVE -2017-0199)补丁
4. 启用windows防火墙,关闭137、139、445等相关端口;
5. 使用HanSight Enterprise和HanSight NTA监控网络流量和主机行为,及时对告警排查处理。