勒索病毒Petya來襲怎么辦

時間：2024-01-09 06:00:40 加城1195由分享

　　電腦病毒看不見，卻無處不在，有時防護措施不夠或者不當操作都會導致病毒入侵，對于之前爆發的一個勒索病毒，下面就詳情來看看最新Petya勒索病毒的應對處理方法，希望對大家有幫助

　　背景：

　　在6月23號我們向您通報了有關“5.12WannaCry”勒索病毒新變種肆虐的消息之后(該次應急通報的具體內容請查看第7-10頁)，在昨天6月27日晚間時候(歐洲6月27日下午時分)，新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導致歐洲多國的多個組織、多家企業的系統出現癱瘓。

　　新變異病毒(Petya)不僅對文件進行加密，而且直接將整個硬盤加密、鎖死，在出現以下界面并癱瘓后，其同時自動向局域網內部的其它服務器及終端進行傳播：

　　本次新一輪變種勒索病毒(Petya)攻擊的原理：

　　經普華永道網絡安全與隱私保護咨詢服務團隊的分析，本次攻擊的病毒被黑客進行了更新，除非防病毒軟件已經進行了特征識別并且用戶端已經升級至最新版病毒庫，否則無法查殺該病毒，病毒在用戶點擊帶病毒的附件之后即可感染本地電腦并對全盤文件進行加密，之后向局域網其它服務器及終端進行自動傳播。

　　以上所述的Petya病毒攻擊及傳播原理，與“5.12WannaCry”以及“6.23勒索軟件新變種”病毒的攻擊及傳播原理一致，不同點在于：

　　1.感染并加密本地文件的病毒進行了更新，殺毒軟件除非升級至最新版病毒庫，否則無法查殺及阻止其加密本機文件系統;

　　2.“5.12WannaCry”及“6.23勒索軟件新變種”在傳播方面，分別利用了微軟Windows系統的一個或者若干個系統漏洞，而Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統漏洞，包括MS17-010(5.12WannaCry永恒之藍勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補丁對應的多個系統漏洞進行傳播。

　　3.本次新變異病毒(Petya)是直接將整個硬盤加密和鎖死，用戶重啟后直接進入勒索界面，若不支付比特幣將無法進入系統。

　　應對建議：

　　目前優先處理步驟如下：

　　1、補丁修復(如已按我們之前的通報，升級所有補丁，則可略過此步驟)

　　2、殺毒軟件升級及監控

　　3、提升用戶信息安全意識度

　　1.補丁修復：

　　如前所述，本次Petya利用了“5.12WannaCry”及“6.23勒索軟件新變種”的所有漏洞，因此，補丁方面必須完成“5.12WannaCry”及“6.23勒索軟件新變種”對應的所有補丁，包括：

　　(可聯系我們索取以上漏洞及補丁原文件)

　　廠商無補丁或無法補丁的修復建議：

　　端口限制：使用系統自帶的防火墻設置訪問規則，即使用系統自帶的防護墻，設置遠程訪問端口137、139、445、3389的源IP：

　　3389端口設置：

　　Windows 2003：通過防火墻策略限制訪問源IP

　　Windows 2008：在組策略中關閉智能卡登錄功能:

　　組策略(gpedit.msc)-->管理模板-->Windows組件-->智能卡

　　2.殺毒軟件升級及監控

　　聯系貴公司防病毒軟件解決方案供應商，確認其最新病毒庫已經可以查殺Petya病毒;升級相應病毒庫并推送至所有服務器及主機。

　　3.提升用戶信息安全意識度：

　　本次Petya病毒的感染源頭依然是通過電子郵件向用戶發送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開)，所以提升用戶信息安全意識度是關鍵的應對措施之一。

　　用戶下載文件包中如發現包含有異常的附件，則必須注意該附件的安全，在無法確定其安全性的前提下，提醒用戶不要打開。

　　建議進一步加強對高管及用戶的信息安全意識度宣貫，并且需要結合最新的信息安全趨勢或者熱點問題進行不同主題的宣貫，而且要持之以恒。

　　WannaCry勒索病毒攻擊者利用Windows系統默認開放的445端口在企業內網內進行病毒傳播與擴散，并且更為嚴重的是，攻擊者不需要用戶進行任何操作即可自行進行病毒的感染與擴散。感染后的設備上所有的文件都將會被加密，無法讀取或者修改，也即造成了整個系統的癱瘓：

　　在5月13號，普華永道網絡安全法及隱私保護咨詢服務團隊向您做出了及時的通報，并提供了有關的應對建議，同時協助許多客戶進行了應對操作(譬如立即修補有關系統補丁，如MS17-010補丁等)。

　　在6月13日，微軟發布了Windows系統的新漏洞通報(“CVE-2017-8543、CVE-2017-8464”)，并且提供了有關的補丁。在昨天(6月22日)，黑客利用微軟Windows系統的上述新漏洞，開發出新變種的勒索病毒，并在過去幾天向互聯網展開了初步攻擊，由于感染及傳播需要一定的時間，因此，攻擊效果集中于昨天出現。截至今日，主要受攻擊及影響的對象集中于工廠、酒店、醫院及零售行業。

　　相關閱讀：2018網絡安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統和處理器在內，幾乎近20年發售的所有設備都受到影響，受影響的設備包括手機、電腦、服務器以及云計算產品。這些漏洞允許惡意程序從其它程序的內存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網站 GitHub 遭遇史上大規模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀錄，美國一家服務提供商遭遇DDoS 攻擊的峰值創新高，達到1.7 Tbps!攻擊者利用暴露在網上的 Memcached 服務器進行攻擊。網絡安全公司 Cloudflare 的研究人員發現，截止2018年2月底，中國有2.5萬 Memcached 服務器暴露在網上。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網站 GitHub(軟件項目托管平臺)上有人共享了 iPhone 操作系統的核心組件源碼，泄露的代碼屬于 iOS 安全系統的重要組成部分——iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統。此次 iBoot 源碼泄露可能讓數以億計的 iOS 設備面臨安全威脅。iOS 與 MacOS 系統開發者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。

　　四、韓國平昌冬季奧運會遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網絡中斷，廣播系統(觀眾不能正常觀看直播)和奧運會官網均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設施癱瘓

　　2018年2月中旬，工業網絡安全企業 Radiflow 公司表示，發現四臺接入歐洲廢水處理設施運營技術網絡的服務器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設備中的 HMI 服務器 CPU，致歐洲廢水處理服務器癱瘓。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對關鍵基礎設施運營商的運營技術網絡展開攻擊。由于受感染的服務器為人機交互(簡稱HMI)設備，之所以導致廢水處理系統癱瘓，是因為這種惡意軟件會嚴重降低 HMI 的運行速度。

勒索病毒Petya來襲怎么辦相關文章：