6月27日晚间,欧洲遭到新一轮的未知病毒的冲击,该病毒传播方式与今年5月爆发的WannaCry病毒非常相似。) G) T3 G% z/ N% U
目前,受影响最严重的国家是乌克兰,而且已经有国内企业中招。7 j @) @. n% ]9 m2 s
此外,俄罗斯(俄罗斯石油公司Rosneft)、西班牙、法国、英国(全球最大广告公司WPP)、丹麦(航运巨头APMoller-Maersk)、印度、美国(律师事务所DLAPiper)也受到不同程度的影响。
' l( k& @! l O, {# z9 h- T* e; g8 O此前,国内的安全公司已确认该勒索病毒为Petya的变种,传播方式与WannaCry类似,利用EternalBlue(永恒之蓝)和OFFICEOLE机制漏洞(CVE-2017-0199)进行传播。! f5 P5 z0 ^6 f4 z, T4 {! W6 f
不过,卡巴斯基实验室的分析人员表示,这种最新的威胁并不是之前报道中所称的是一种Petya勒索软件的变种,而是一种之前从未见过的全新勒索软件。
i; R9 a, h5 i; |+ @8 S" z) s( i尽管这种勒索软件同Petya在字符串上有所相似,但功能却完全不同,并将其命名为ExPetr。
+ k3 f, ?; \& _; Z传播方式# q! i# l, Y1 j! t, n' z, @! S
360首席安全工程师郑文彬称,此次最新爆发的病毒具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。
9 R. O" w6 x# u根据360的威胁情报,有用户收到带有附件名为“Order-20061017.doc”的邮件,该邮件附件为使用CVE-2017-0199漏洞的恶意文件,漏洞触发后从“http ://french-cooking.com/myguy.exe”下载恶意程序执行。
/ g- l9 U" O! D; G外部威胁情报显示,该勒索软件就是由此恶意程序最早传播。" Z$ P$ v0 B- A3 J" Y% u
据分析,病毒作者很可能入侵了乌克兰的专用会计软件me-doc,来进行最开始的传播。他们将病毒程序伪装成me-doc的升级程序给其用户下发。) B8 r1 t7 T( j& a
由于这是乌克兰官方要求的报税软件,因此乌克兰的大量基础设施、政府、银行、大型企业都受到攻击,其他国家同乌克兰有关联的投资者和企业也收到攻击,这展示了此次勒索病毒变种的一个针对性特征,针对有报税需求的企业单位进行攻击也符合勒索病毒的牟利特点。
$ b, c- s- _3 i9 U7 j2 S1 a% a- c3 h根据360安全中心监测,此次国内出现的勒索病毒新变种主要攻击途径是内网渗透,也就是利用“管理员共享”功能攻击内网其他机器,相比已经被广泛重视的“永恒之蓝”漏洞更具杀伤力。
+ U( D8 ?0 ~% u% b技术原理
* ^9 v% ]( b6 I" j, ^8 Q) @5 ]) m- n据阿里云安全专家介绍,勒索病毒通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。而这种勒索病毒在内网系统中,主要通过主要通过Windows管理体系结构(Microsoft Windows Management Instrumentation),和PSEXEC(SMB协议)进行扩散。$ m% `1 U+ d; z, c. N" M
该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR,病毒会进一步加密文档、视频等磁盘文件。# }. B3 ? ?0 S4 C D) c
阿里云在对病毒样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。下图显示的就是病毒伪装的磁盘扫描程序。! \9 ~' D7 ~- F W
全新勒索病毒太可怕!国内已经有人中招
- g" r5 r* W- D2 }
而该病毒对勒索对象的加密,可以分为以下7个步骤:
3 I& q* @$ H. b- b6 K# }! k& s
全新勒索病毒太可怕!国内已经有人中招
9 f! I2 q7 e) v/ {5 Y+ c
根据安天方面的消息,该病毒的勒索模块实际上是一个DLL文件,该文件被加载后遍历用户磁盘文件(除C:\Windows目录下),并对指定后缀名的文件进行加密,加密后不修改原文件名和扩展名。
$ C( |% c; t& y# I8 l该文件修改MBR,同时,添加计划任务,在等待一段时间后,关闭计算机。当用户开启计算机时,会显示勒索界面和信息并无法进入系统。
$ b& H& a4 R& d1 w与Wannacry的差异' \8 |3 ^& z7 _! a( J, \
据雷锋网宅客频道了解,这次的新型勒索病毒变种,是利用系列漏洞进行传播的新勒索病毒家族。与5月爆发的WannaCry相比,新型勒索病毒变种的传播速度更快。此次勒索病毒的主要特点有: - k" ]" F. |; E" E! C
该勒索病毒使用了多种方式在内网进行攻击传播,包括使用了NSA的武器库中的永恒之蓝、永恒浪漫系列远程攻击武器,以及利用内网共享的方式传播。+ y8 M& D# f9 l. Y# D4 _1 O+ B
因此不仅没有及时修复NSA武器库漏洞的用户会受影响,只要内网中有其他用户受到攻击,已经打了补丁的电脑也可能会受到攻击。' j2 M2 |( ]5 g+ r4 M& f
此次的勒索病毒会导致电脑不可用。此前的WannaCry病毒仅会加密用户文件,但是用户的电脑仍暂时可用,而此次的勒索病毒会感染用户电脑的引导区,导致用户电脑无法正常开机(强制显示勒索信息)。
' @8 c% n4 \* z# P! v4 q+ }2 q此外,该勒索病毒加密的文件类型相比WannaCry少,一共有65种,而WannaCry为178种(包括常见文件类型)。
( z' g: Q/ V! k2 U7 H& M/ n解决方案 U% W3 y& J$ F0 C& w0 _
目前,网络管理员可通过,监测相关域名/IP,拦截病毒下载,统计内网感染分布:; g y# w7 f7 `- V. P& [
84.200.16.2428 u6 J3 y5 Z( n0 w$ w: s
111.90.139.247/ A6 \( D- Z+ b; Z3 G, D
185.165.29.78" w! q: I0 {( J+ M& p l" d" s
111.90.139.2478 N: S& q0 |8 h5 m5 r1 y
95.141.115.108
2 J: i/ c3 y0 B' _' b6 S) l+ rCOFFEINOFFICE.XYZ
3 `9 p: g+ G- ^! g3 G+ ufrench-cooking.com4 n7 m) X0 j6 E6 g$ g4 K, `
此外,还可以通过如下关键HASH排查内网感染情况:
4 G7 H, K4 G' q$ y( Q/ U& W) w415fe69bf32634ca98fa07633f4118e1& T8 |( Z6 D, R4 m) l
0487382a4daf8eb9660f1c67e30f8b258 J# A8 Y1 `. N* w# L
a1d5895f85751dfe67d19cccb51b051a
1 |9 B) f; N# t% G4 \2 h0 {" Y8 u0 z! [71b6a493388e7d0b40c83ce903bc6b04, h) d* f ?/ h: N3 {8 h* S
目前,包括360、腾讯、阿里云、安天、金山毒霸在内的各大安全厂商已经推出了初步的解决方案。: X# E' H1 l( G1 l, w" t
以下是针对受害者的初步建议:
. u1 d) ?; O$ b! b- 目前勒索者使用的邮箱已经停止访问,不建议支付赎金。& U$ \$ f9 K9 {/ t6 v" n/ a- l
- 所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。
0 Q; c0 R' i: y" i/ i8 b' {: C9 ]- 安全补丁对个人用户来说相对简单。只需自学装载,就能完成。
$ N+ }6 |/ `% Y6 a- 对大型企业或组织机构,面对成百上千台机器,最好还是能使用客户端进行集中管理。/ w( h& X$ ~8 Z; B& g
- 可靠的数据备份可以将勒索软件带来的损失最小化。 |
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
