梆梆资讯
勒索病毒Petya攻击黄色预警!解决方案出炉勿点可疑邮件
2017-06-23
北京时间2017年6月27日晚,欧洲多国遭遇新型勒索病毒Petya变种攻击,范围涵盖乌克兰、俄罗斯、西班牙、法国、英国、丹麦等国家。同时,美国、印度也有相关案例被发现。本次新型勒索病毒地域性特征明显,中国国内尚无大规模爆发迹象,故此梆梆安全情报中心将此次安全事件定义为“黄色”级别。并提请所有用户注意,不要在PC端和移动端打开可疑电子邮件,加强对山寨APP、恶意APP的监控力度。
一、攻击情况通报
统计截止时间:2017年6月28日06:00
涉及国家(8个):乌克兰、俄罗斯、西班牙、法国、英国、丹麦、美国、印度,其中乌克兰目前为本次攻击的重灾区。
涉及行业:政府、通讯(电信)、交通(地铁、机场)、邮政、能源(电力、石油)、私人公司(广告公司、律师事务所、物流公司)、零售企业等。
攻击目的:疑似为非经济利益目的攻击。
攻击传播渠道:“电子邮件+下载器+蠕虫”复合形式传播。本次新型勒索病毒Petya变种首次攻击传播渠道为电子邮件,故需加强对钓鱼邮件的防范。
攻击利用漏洞:本次新型勒索病毒Petya变种攻击主要利用CVE-2017-0199漏洞实施邮件攻击投放,然后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。
勒索攻击特征:本次新型勒索病毒Petya变种攻击,会加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置信息来限制对完整系统的访问,进而致使电脑无法启动。
攻击影响操作系统:Windows XP及以上版本。
二、攻击防护建议
A.未感染系统安全防护建议
1、加强可疑电子邮件防范:对含有不明附件、可疑链接的电子邮件谨慎点击。
2、即刻更新安全补丁:
(1)操作系统安全补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
(2)Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
3、系统服务禁用:禁止系统里的WMI服务。具体操作方法为,我的电脑--》控制面板--》管理工具--》服务--》Windows Management Instrumentation服务,右键点击属性,选择“常规”面板里的“启动类型”,设置为“已禁用”,确定。
4、加强操作系统启动密码强度:特别对于存在空口令或弱口令问题的操作系统,需要第一时间将登录密码口令更改为高强度密码口令。
B.已感染系统安全修复建议
1、重新安装操作系统:如无重要数据需要恢复,请彻底格式化后重新安装操作系统。
2、恢复备份:如有重要文件,且已经提前进行文件备份的用户,可在重新安装操作系统后,进行文件恢复操作。
3、拒绝支付赎金:由于目前勒索攻击者所使用电子邮箱已被相关电邮服务提供商关闭,故建议拒绝支付赎金,等待后继对该勒索病毒的深入分析,找到解锁密码或者解锁方式后,恢复被加密系统与文件。
4、发现系统崩溃后,请勿重启,立即强制关机。
C.移动端安全预防御建议
1、谨慎打开可疑电子邮件:请在移动端警惕点击任何可疑电子邮件,特别是邮件所带链接、附件文件。
2、在正规应用商店下载APP:请在正规应用商店下载APP,降低安装、使用山寨APP、恶意APP的可能性,封堵移动端勒索攻击传播渠道。
3、加强渠道及危险感知监控:
(1)请使用梆梆安全渠道监管监测平台的用户,加强对可疑APP的监控,防范该新型勒索病毒Petya变种通过盗版APP实施移动端蔓延攻击。
(2)请使用梆梆安全移动威胁感知平台的用户,加强对可疑移动业务的监控,及时预警高风险危机,提前封堵隐患。
梆梆安全情报中心将持续跟进本次新型勒索病毒攻击,并即时发布最新预警信息及移动端安全预警。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1