【網(wǎng)絡安全】：新勒索病毒Petya來襲怎么辦？有什么預防辦法？

【網(wǎng)絡安全】：新勒索病毒Petya來襲怎么辦？有什么預防辦法？

　　新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導致歐洲多國的多個組織、多家企業(yè)的系統(tǒng)出現(xiàn)癱瘓。新變異病毒(Petya)不僅對文件進行加密，而且直接將整個硬盤加密、鎖死，在出現(xiàn)以下界面并癱瘓后，其同時自動向局域網(wǎng)內(nèi)部的其它服務器及終端進行傳播，那么我們該怎么辦?下面小編就為大家介紹一下，一起來看看吧!

　　本次新一輪變種勒索病毒(Petya)攻擊的原理：

　　經(jīng)普華永道網(wǎng)絡安全與隱私保護咨詢服務團隊的分析，本次攻擊的病毒被黑客進行了更新，除非防病毒軟件已經(jīng)進行了特征識別并且用戶端已經(jīng)升級至最新版病毒庫，否則無法查殺該病毒，病毒在用戶點擊帶病毒的附件之后即可感染本地電腦并對全盤文件進行加密，之后向局域網(wǎng)其它服務器及終端進行自動傳播。

　　以上所述的Petya病毒攻擊及傳播原理，與“5.12WannaCry”以及“6.23勒索軟件新變種”病毒的攻擊及傳播原理一致，不同點在于：

　　1.感染并加密本地文件的病毒進行了更新，殺毒軟件除非升級至最新版病毒庫，否則無法查殺及阻止其加密本機文件系統(tǒng);

　　2.“5.12WannaCry”及“6.23勒索軟件新變種”在傳播方面，分別利用了微軟Windows系統(tǒng)的一個或者若干個系統(tǒng)漏洞，而Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統(tǒng)漏洞，包括MS17-010(5.12WannaCry永恒之藍勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補丁對應的多個系統(tǒng)漏洞進行傳播。

　　3.本次新變異病毒(Petya)是直接將整個硬盤加密和鎖死，用戶重啟后直接進入勒索界面，若不支付比特幣將無法進入系統(tǒng)。

　　應對建議：

　　目前優(yōu)先處理步驟如下：

　　1、補丁修復(如已按我們之前的通報，升級所有補丁，則可略過此步驟)

　　2、殺毒軟件升級及監(jiān)控

　　3、提升用戶信息安全意識度

　　1.補丁修復：

　　如前所述，本次Petya利用了“5.12WannaCry”及“6.23勒索軟件新變種”的所有漏洞，因此，補丁方面必須完成“5.12WannaCry”及“6.23勒索軟件新變種”對應的所有補丁，包括：

　　廠商無補丁或無法補丁的修復建議：

　　端口限制：使用系統(tǒng)自帶的防火墻設置訪問規(guī)則，即使用系統(tǒng)自帶的防護墻，設置遠程訪問端口137、139、445、3389的源IP：

　　3389端口設置：

　　Windows 2003：通過防火墻策略限制訪問源IP

　　Windows 2008：在組策略中關閉智能卡登錄功能:

　　組策略(gpedit.msc)-->管理模板-->Windows組件-->智能卡

　　2.殺毒軟件升級及監(jiān)控

　　確認最新病毒庫已經(jīng)可以查殺Petya病毒;升級相應病毒庫并推送至所有服務器及主機。

　　3.提升用戶信息安全意識度：

　　本次Petya病毒的感染源頭依然是通過電子郵件向用戶發(fā)送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開)，所以提升用戶信息安全意識度是關鍵的應對措施之一。

　　用戶下載文件包中如發(fā)現(xiàn)包含有異常的附件，則必須注意該附件的安全，在無法確定其安全性的前提下，提醒用戶不要打開。

　　建議進一步加強對高管及用戶的信息安全意識度宣貫，并且需要結合最新的信息安全趨勢或者熱點問題進行不同主題的宣貫，而且要持之以恒。

　　WannaCry勒索病毒攻擊者利用Windows系統(tǒng)默認開放的445端口在企業(yè)內(nèi)網(wǎng)內(nèi)進行病毒傳播與擴散，并且更為嚴重的是，攻擊者不需要用戶進行任何操作即可自行進行病毒的感染與擴散。感染后的設備上所有的文件都將會被加密，無法讀取或者修改，也即造成了整個系統(tǒng)的癱瘓：

　　在5月13號，普華永道網(wǎng)絡安全法及隱私保護咨詢服務團隊向您做出了及時的通報，并提供了有關的應對建議，同時協(xié)助許多客戶進行了應對操作(譬如立即修補有關系統(tǒng)補丁，如MS17-010補丁等)。

　　在6月13日，微軟發(fā)布了Windows系統(tǒng)的新漏洞通報(“CVE-2017-8543、CVE-2017-8464”)，并且提供了有關的補丁。在昨天(6月22日)，黑客利用微軟Windows系統(tǒng)的上述新漏洞，開發(fā)出新變種的勒索病毒，并在過去幾天向互聯(lián)網(wǎng)展開了初步攻擊，由于感染及傳播需要一定的時間，因此，攻擊效果集中于昨天出現(xiàn)。截至今日，主要受攻擊及影響的對象集中于工廠、酒店、醫(yī)院及零售行業(yè)。

　　本次新一輪變種勒索病毒攻擊的原理：

　　本次攻擊利用了微軟Windows系統(tǒng)的兩個新漏洞“CVE-2017-8543、CVE-2017-8464”，該病毒利用以下方式來攻擊并加密被攻擊對象系統(tǒng)中的文件：

　　1.利用Window Search(Windows Search的功能是為我們電腦中的文件、電子郵件和其他內(nèi)容提供內(nèi)容索引、屬性緩存和搜索結果，默認的服務狀態(tài)是處于開啟的狀態(tài))漏洞來提高權限并遠程執(zhí)行加密命令，從而達到對全盤文件進行加密的結果;

　　2.自動創(chuàng)建Windows快捷方式LNK(.lnk)，通過LNK來提高權限，并對文件進行加密。

　　在加密過程中，全程都沒有任何彈框提示就直接加密文件或?qū)е码娔X藍屏(這是與5.12勒索病毒軟件不同的其中一個特點)。

　　應對建議：

　　目前優(yōu)先處理步驟如下：

　　1、補丁修復

　　2、添加郵件網(wǎng)關黑名單

　　3、殺毒軟件升級及監(jiān)控

　　4、提升用戶信息安全意識度

　　1.補丁修復：

　　目前微軟已發(fā)出補丁，下載地址如下：

　　https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

　　具體操作指南：

　　先打開https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms，會看到CVE-2017-8543、CVE-2017-8464，找到相應版本的補丁進行下載(目前XP、Window2003不受影響)，并執(zhí)行相應主機及個人電腦的補丁升級。

　　2.添加郵件網(wǎng)關文件黑名單

　　在原有的黑名單上，增加如下后綴：

　　.lnk

　　.link

　　3.殺毒軟件升級及監(jiān)控

　　3.1.病毒庫升級及推送至所有服務器及主機;

　　3.2.殺毒軟件控制臺監(jiān)控：

　　查看殺毒軟件控制臺查看報警信息，如是否有入侵事件，如針對SMB攻擊(如SMB BoublePulsar ping、溢出攻擊)，對已感染的進行處理;

　　本次新勒索病毒變種，雖然是利了微軟Windows系統(tǒng)的新系統(tǒng)漏洞，但其感染源頭依然是通過電子郵件向用戶發(fā)送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開)，所以提升用戶信息安全意識度是關鍵的應對措施之一。

　　用戶下載文件包中如發(fā)現(xiàn)包含有異常的附件(本次是.lnk/.link的文件)，則必須注意該附件的安全，在無法確定其安全性的前提下，提醒用戶不要打開。

　　建議進一步加強對高管及用戶的信息安全意識度宣貫，并且需要結合最新的信息安全趨勢或者熱點問題進行不同主題的宣貫，而且要持之以恒。

　　好了今天小編的介紹就到這里了，希望對大家有所幫助!如果你喜歡記得分享給身邊的朋友哦!