”業(yè)內(nèi)很多安全廠商認(rèn)為該勒索軟件為Petya變體,并將其命名為“PetrWrap”,但也有安全廠商認(rèn)為這是一款全新的勒索軟件,比如卡巴斯基將該勒索軟件命名為“ExPetr”。
攻擊影響
一旦遭受攻擊,該勒索軟件會加密硬盤的MFT并修改MBR,然后在系統(tǒng)的定時(shí)任務(wù)中增加計(jì)算機(jī)重啟任務(wù)。一段時(shí)間后,系統(tǒng)會自動重啟。重啟過程中,勒索軟件會仿冒磁盤檢查,并對磁盤進(jìn)行加密操作。然后提示用戶支付$300的比特幣,否則無法正常使用系統(tǒng)。
攻擊途徑
經(jīng)過華為未然實(shí)驗(yàn)室持續(xù)監(jiān)測分析發(fā)現(xiàn):勒索軟件首先通過電子郵件感染內(nèi)網(wǎng)用戶,具體方法是通過釣魚郵件發(fā)送含有CVE-2017-0199漏洞的RTF文檔。當(dāng)用戶不小心打開該惡意文檔后,用戶電腦中便自動執(zhí)行惡意代碼,加載該勒索軟件。
當(dāng)該勒索軟件登陸內(nèi)部主機(jī)后,通過下面兩種方法進(jìn)行內(nèi)網(wǎng)的橫向傳播:
- 通過破解系統(tǒng)的弱口令進(jìn)行傳播;
- 利用“永恒之藍(lán)”漏洞(MS17-010)進(jìn)行傳播。
勒索軟件傳播示意圖
華為教你四步應(yīng)對法
1F不要打開可疑郵件
利用釣魚郵件進(jìn)行傳播是勒索軟件感染的一個(gè)常用方法,用戶應(yīng)加強(qiáng)安全意識,在任何時(shí)候,遇到來歷不明的郵件,或攜帶不明附件和不明鏈接的郵件,請勿打開。
2F更改系統(tǒng)口令
為避免系統(tǒng)口令被破解,使用弱口令的用戶應(yīng)立即修改系統(tǒng)密碼,設(shè)置高強(qiáng)度密碼。
3F更新漏洞補(bǔ)丁
- 針CVE-2017-0199漏洞,請及時(shí)更新如下補(bǔ)丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
- 針對“永恒之藍(lán)”(MS17-010)漏洞,請及時(shí)更新如下補(bǔ)丁:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4F臨時(shí)措施
- 關(guān)閉139,445端口,此前我們針對 WannaCry 已經(jīng)提供過具體方法。
- 關(guān)閉WMI服務(wù),步驟如下:
- 運(yùn)行“services.msc”。
- 雙擊“Windows Management Instrumentation”。
- 停止相應(yīng)服務(wù)。
有研究人員發(fā)現(xiàn),該勒索軟件也存在Kill Switch。該勒索軟件在運(yùn)行時(shí),首先會搜索某個(gè)本地文件,如果該文件存在,則退出加密過程。用戶只需要在c:\windows目錄下創(chuàng)建明文 “perfc”的文件,并將其權(quán)限設(shè)置為“只讀”即可。
- 已經(jīng)有安全專家為戶寫好了腳本:
https://download.bleepingcomputer.com/bats/nopetyavac.bat
事后應(yīng)對,不如防患于未然
基于傳統(tǒng)的以防御為中心的安全防護(hù)體系已不能有效防御未知威脅,針對勒索軟件僅僅依靠簽名的更新也是不夠的,因此需要建設(shè)以未知威脅檢測為核心的安全防御體系。
華為安全精準(zhǔn)檢測未知威脅
華為FireHunter6000沙箱通過病毒掃描、信譽(yù)掃描、靜態(tài)分析和虛擬執(zhí)行等技術(shù),以及獨(dú)有的行為模式庫技術(shù),根據(jù)情況分析給出精確的檢測報(bào)告,實(shí)現(xiàn)對未知惡意文件的檢測。配合其他安全設(shè)備,能快速對高級惡意文件進(jìn)行攔截,有效避免未戶。
50+文件類型檢測,全面識別未知惡意軟件;
- 4重縱深檢測,準(zhǔn)確性達(dá)99.5%以上;
- 秒級聯(lián)動響應(yīng),快速攔截未知惡意軟件。
此次勒索軟件借助兩個(gè)重要漏洞進(jìn)行傳播:CVE-2017-0199和MS17-010,這兩個(gè)漏洞均為已知漏洞,華為安全產(chǎn)品可以有效檢測攜帶CVE-2017-0199利用代碼的惡意文檔和針對MS17-010漏洞利用的蠕蟲感染流量。
通過還原郵件流量并將提取出的郵件附件送檢,華為FireHunter6000沙箱可以有效捕獲郵件附件中的惡意RTF文檔,并識別其中如Petya勒索軟件及可疑的網(wǎng)絡(luò)通訊活動:
華為用戶如何獲取防護(hù)能力?
華為入侵防御相關(guān)產(chǎn)品亦可檢測針對CVE-2017-0199和MS17-010漏洞的攻擊,請用戶升級IPS特征庫來獲得防護(hù)能力:
標(biāo)題
內(nèi)容
備注
IPS簽名庫版本
20170628xx
xx是根據(jù)不同型號的編碼,日期比這個(gè)庫新的版本都可以防護(hù)此漏洞。
IPS簽名ID
372910 372912 372913
Microsoft Office OLE2Link 遠(yuǎn)程代碼執(zhí)行漏洞。
支持的設(shè)備類型
USG6000/9500系列,Eudemon8000E系列,NIP6000以上系列產(chǎn)品
具體情況,請參考IPS簽名庫下載網(wǎng)址。
IPS簽名庫的下載地址
http://sec.huawei.com/
-
升級方法
聯(lián)網(wǎng)設(shè)備可以自動升級,若需手動升級,請從上述地址下載離線升級包。
此外,我們?nèi)匀唤ㄗh用戶按照上一章的建議升級系統(tǒng)補(bǔ)丁,以修復(fù)漏洞,從根本上消除被攻擊的可能。
