新变异Petya勒索病毒查杀工具是一款近日最新变异出来的电脑病毒,这也是一款勒索病毒,会锁死你的电脑文件,然后进行现金勒索,国内已经有部分开始传播了,赶紧下载查杀工具吧!
新变异Petya勒索病毒相关新闻
与Wannacry勒索病毒技术同源(基于NSA的永恒之蓝代码)的Petya勒索病毒变种本周二在全球爆发,英国(WPP)、乌克兰、波兰、意大利、丹麦(Maersk)、俄罗斯(Rosnoft)美国(Merck)多家大型企业报告遭受病毒袭击,其中重灾区乌克兰的政府、国有银行、交通、能源等关键基础设施和部门遭受袭击,甚至乌克兰总理的电脑都遭受攻击。
根据最早发现并分析Petya病毒的卡巴斯基和Avast等安全公司的判断,Petya勒索病毒在初始阶段的规模和速度都超过了此前震惊全球的Wannacry勒索病毒,但是两者的运作方式和传播机制有很大区别。
Petya勒索病毒也会扫描内网并通过SMB协议漏洞传播,但与Wannacry不同,根据比利时网络应急团队CERT.be的报告,Petya还利用了FireEye公司四月份公布的另外一个Windows漏洞,攻击者可以利用钓鱼邮件发送的恶意文件在受害者电脑上运行命令。这也使得Petya勒索病毒能够感染此前已经修补永恒之蓝漏洞布丁的计算机。
新变异Petya勒索病毒详细介绍
1.感染并加密本地文件的病毒进行了更新,杀毒软件除非升级至最新版病毒库,否则无法查杀及阻止其加密本机文件系统;
2.“5.12WannaCry”及“6.23勒索软件新变种”在传播方面,分别利用了微软Windows系统的一个或者若干个系统漏洞,而Petya综合利用了“5.12WannaCry”及“6.23勒索病毒新变种”所利用的所有Windows系统漏洞,包括MS17-010(5.12WannaCry永恒之蓝勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新变种)等补丁对应的多个系统漏洞进行传播。
3.本次新变异病毒(Petya)是直接将整个硬盘加密和锁死,用户重启后直接进入勒索界面,若不支付比特币将无法进入系统。
新变异Petya勒索病毒应对方法
目前优先处理步骤如下:
1、补丁修复(如已按我们之前的通报,升级所有补丁,则可略过此步骤)
2、杀毒软件升级及监控
3、提升用户信息安全意识度
1.补丁修复:
如前所述,本次Petya利用了“5.12WannaCry”及“6.23勒索软件新变种”的所有漏洞,因此,补丁方面必须完成“5.12WannaCry”及“6.23勒索软件新变种”对应的所有补丁,包括:
(可联系我们索取以上漏洞及补丁原文件)
厂商无补丁或无法补丁的修复建议:
端口限制:使用系统自带的防火墙设置访问规则,即使用系统自带的防护墙,设置远程访问端口137、139、445、3389的源IP:
3389端口设置:
Windows 2003:通过防火墙策略限制访问源IP
Windows 2008:在组策略中关闭智能卡登录功能:
组策略(gpedit.msc)-->管理模板-->Windows组件-->智能卡
2.杀毒软件升级及监控
联系贵公司防病毒软件解决方案供应商,确认其最新病毒库已经可以查杀Petya病毒;升级相应病毒库并推送至所有服务器及主机。
3.提升用户信息安全意识度:
本次Petya病毒的感染源头依然是通过电子邮件向用户发送勒索病毒文件的形式(或者是用户主动下载带病毒的软件并打开),所以提升用户信息安全意识度是关键的应对措施之一。
用户下载文件包中如发现包含有异常的附件,则必须注意该附件的安全,在无法确定其安全性的前提下,提醒用户不要打开。
建议进一步加强对高管及用户的信息安全意识度宣贯,并且需要结合最新的信息安全趋势或者热点问题进行不同主题的宣贯,而且要持之以恒。
WannaCry勒索病毒攻击者利用Windows系统默认开放的445端口在企业内网内进行病毒传播与扩散,并且更为严重的是,攻击者不需要用户进行任何操作即可自行进行病毒的感染与扩散。感染后的设备上所有的文件都将会被加密,无法读取或者修改,也即造成了整个系统的瘫痪:
在5月13号,普华永道网络安全法及隐私保护咨询服务团队向您做出了及时的通报,并提供了有关的应对建议,同时协助许多客户进行了应对操作(譬如立即修补有关系统补丁,如MS17-010补丁等)。
在6月13日,微软发布了Windows系统的新漏洞通报(“CVE-2017-8543、CVE-2017-8464”),并且提供了有关的补丁。在昨天(6月22日),黑客利用微软Windows系统的上述新漏洞,开发出新变种的勒索病毒,并在过去几天向互联网展开了初步攻击,由于感染及传播需要一定的时间,因此,攻击效果集中于昨天出现。截至今日,主要受攻击及影响的对象集中于工厂、酒店、医院及零售行业。
本次新一轮变种勒索病毒攻击的原理:
本次攻击利用了微软Windows系统的两个新漏洞“CVE-2017-8543、CVE-2017-8464”,该病毒利用以下方式来攻击并加密被攻击对象系统中的文件:
1.利用Window Search(Windows Search的功能是为我们电脑中的文件、电子邮件和其他内容提供内容索引、属性缓存和搜索结果,默认的服务状态是处于开启的状态)漏洞来提高权限并远程执行加密命令,从而达到对全盘文件进行加密的结果;
2.自动创建Windows快捷方式LNK(.lnk),通过LNK来提高权限,并对文件进行加密。
在加密过程中,全程都没有任何弹框提示就直接加密文件或导致电脑蓝屏(这是与5.12勒索病毒软件不同的其中一个特点)。
应对建议:
目前优先处理步骤如下:
1、补丁修复
2、添加邮件网关黑名单
3、杀毒软件升级及监控
4、提升用户信息安全意识度
1.补丁修复:
目前微软已发出补丁,下载地址如下:
https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
具体操作指南:
先打开https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms,会看到CVE-2017-8543、CVE-2017-8464,找到相应版本的补丁进行下载(目前XP、Window2003不受影响),并执行相应主机及个人电脑的补丁升级。
2.添加邮件网关文件黑名单
在原有的黑名单上,增加如下后缀:
.lnk
.link
3.杀毒软件升级及监控
3.1.病毒库升级及推送至所有服务器及主机;
3.2.杀毒软件控制台监控:
查看杀毒软件控制台查看报警信息,如是否有入侵事件,如针对SMB攻击(如SMB BoublePulsar ping、溢出攻击),对已感染的进行处理;
注:下面为某客户受到攻击时的异常事件日志信息,仅供参考:
本次新勒索病毒变种,虽然是利了微软Windows系统的新系统漏洞,但其感染源头依然是通过电子邮件向用户发送勒索病毒文件的形式(或者是用户主动下载带病毒的软件并打开),所以提升用户信息安全意识度是关键的应对措施之一。
用户下载文件包中如发现包含有异常的附件(本次是.lnk/.link的文件),则必须注意该附件的安全,在无法确定其安全性的前提下,提醒用户不要打开。
建议进一步加强对高管及用户的信息安全意识度宣贯,并且需要结合最新的信息安全趋势或者热点问题进行不同主题的宣贯,而且要持之以恒。