IT之家6月28日消息 WannaCry病毒剛剛平息,現(xiàn)在,一款名為Petya的新型勒索病毒又在世界各地傳播了。據(jù)了解,烏克蘭的國家銀行、電力公司、機場、地鐵服務(wù)和幾個組織正在受到Petya的攻擊,銀行系統(tǒng)等多個國家設(shè)施均遭感染導(dǎo)致運轉(zhuǎn)異常。
據(jù)騰訊電腦管家的報道,中國區(qū)最早攻擊發(fā)生在2017年6月27號早上,通過郵箱附件傳播。另據(jù)烏克蘭CERT官方消息稱,郵箱附件被確認是該次病毒攻擊的傳播源頭。
(烏克蘭CERT官方消息確認郵箱附件為此次病毒攻擊的傳播源)
據(jù)了解,這是一種類似于“WannaCry”的勒索病毒新變種,傳播方式與“WannaCry”類似,其利用EternalBlue(永恒之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進行傳播,同時還具備局域網(wǎng)傳播手法。
據(jù)騰訊安全反病毒實驗室研究發(fā)現(xiàn),病毒樣本運行之后,會枚舉內(nèi)網(wǎng)中的電腦,并嘗試在135、139、445等端口使用SMB協(xié)議進行連接。同時,病毒會修改系統(tǒng)的MBR引導(dǎo)扇區(qū),當電腦重啟時,病毒代碼會在Windows操作系統(tǒng)之前接管電腦,執(zhí)行加密等惡意操作。
電腦重啟后,會顯示一個偽裝的界面,假稱正在進行磁盤掃描,實際上正在對磁盤數(shù)據(jù)進行加密操作。加密完成后,病毒才露出真正的嘴臉,要求受害者支付贖金。
針對已經(jīng)中招Petya勒索病毒的用戶,騰訊電腦管家提醒可以通過WinPE進入系統(tǒng),有很高幾率恢復(fù)部分文件。騰訊電腦管家用戶也可以通過下載“勒索病毒離線版免疫工具”進行防御等。
二是,斷網(wǎng)備份重要文檔。如果電腦插了網(wǎng)線,則先拔掉網(wǎng)線;如果電腦通過路由器連接wifi,則先關(guān)閉路由器。隨后再將電腦中的重要文檔拷貝或移動至安全的硬盤或U盤。
此外,針對管理員用戶,騰訊電腦管家建議如下:
一是,禁止接入層交換機PC網(wǎng)段之間135、139、445三個端口訪問。
二是,要求所有員工按照上述修復(fù)漏洞。
三是,使用“管理員助手”確認員工電腦漏洞是否修復(fù)。
此外,騰訊安全云鼎實驗室分析發(fā)現(xiàn),病毒采用多種感染方式,其中通過郵件投毒的方式有定向攻擊的特性,在目標中毒后會在內(nèi)網(wǎng)橫向滲透,通過下載更多載體進行內(nèi)網(wǎng)探測。
網(wǎng)絡(luò)管理員可通過,監(jiān)測相關(guān)域名/IP,攔截病毒下載,統(tǒng)計內(nèi)網(wǎng)感染分布:
84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
COFFEINOFFICE.XYZ
french-cooking.com
網(wǎng)絡(luò)管理員可通過如下關(guān)鍵HASH排查內(nèi)網(wǎng)感染情況:
415fe69bf32634ca98fa07633f4118e1
0487382a4daf8eb9660f1c67e30f8b25
a1d5895f85751dfe67d19cccb51b051a
71b6a493388e7d0b40c83ce903bc6b04
廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。