同時(shí),在27號(hào)18點(diǎn)左右,騰訊云聯(lián)合騰訊電腦管家發(fā)現(xiàn)相關(guān)樣本在國(guó)內(nèi)出現(xiàn),騰訊云已實(shí)時(shí)啟動(dòng)用戶(hù)防護(hù)引導(dǎo),到目前為止,云上用戶(hù)尚無(wú)感染案例,但建議沒(méi)打補(bǔ)丁用戶(hù)盡快打補(bǔ)丁避免感染風(fēng)險(xiǎn)。
經(jīng)云鼎實(shí)驗(yàn)室確認(rèn),這是一種類(lèi)似于“WannaCry”的勒索病毒新變種,傳播方式與“WannaCry”類(lèi)似,其利用EternalBlue(永恒之藍(lán))和OFFICE OLE機(jī)制漏洞(CVE-2017-0199)進(jìn)行傳播,同時(shí)還具備局域網(wǎng)傳播手法。
騰訊云主機(jī)防護(hù)產(chǎn)品云鏡已實(shí)時(shí)檢測(cè)該蠕蟲(chóng),云鼎實(shí)驗(yàn)室將持續(xù)關(guān)注該事件和病毒動(dòng)態(tài),第一時(shí)間更新相關(guān)信息,請(qǐng)及時(shí)關(guān)注,修復(fù)相關(guān)漏洞,避免遭受損失。
病毒特征
在中了該病毒后,電腦將會(huì)被鎖住,出現(xiàn)以下勒索提示信息,并要求支付300美元的比特幣才能解鎖。
影響范圍
通過(guò)分析,我們發(fā)現(xiàn)病毒采用多種感染方式,其中通過(guò)郵件投毒的方式有定向攻擊的特性,在目標(biāo)中毒后會(huì)在內(nèi)網(wǎng)橫向滲透,通過(guò)下載更多載體進(jìn)行內(nèi)網(wǎng)探測(cè)。
網(wǎng)絡(luò)管理員可通過(guò),監(jiān)測(cè)相關(guān)域名/IP,攔截病毒下載,統(tǒng)計(jì)內(nèi)網(wǎng)感染分布:
- 84.200.16.242
- 111.90.139.247
- 185.165.29.78
- 111.90.139.247
- 95.141.115.108
- COFFEINOFFICE.XYZ
- french-cooking.com
網(wǎng)絡(luò)管理員可通過(guò)如下關(guān)鍵HASH排查內(nèi)網(wǎng)感染情況:
- 415fe69bf32634ca98fa07633f4118e1
- 0487382a4daf8eb9660f1c67e30f8b25
- a1d5895f85751dfe67d19cccb51b051a
- 71b6a493388e7d0b40c83ce903bc6b04
防護(hù)方案
經(jīng)過(guò)確認(rèn),勒索病毒是利用EternalBlue進(jìn)行傳播,可以采用以下方案進(jìn)行防護(hù)和查殺:
1、騰訊云用戶(hù)請(qǐng)確保安裝和開(kāi)啟云鏡主機(jī)保護(hù)系統(tǒng),云鏡可對(duì)海量主機(jī)集中管理,進(jìn)行補(bǔ)丁修復(fù),病毒監(jiān)測(cè)。
2、更新EternalBlue&CVE-2017-0199對(duì)應(yīng)漏洞補(bǔ)丁
補(bǔ)丁下載地址:
http://www.catalog.update.microsoft.com/Search.aspxq=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
3、終端用戶(hù)使用電腦管家進(jìn)行查殺和防護(hù)
電腦管家已支持對(duì)EternalBlue的免疫和補(bǔ)丁修復(fù),也支持對(duì)該病毒的查殺,可以直接開(kāi)啟電腦管家進(jìn)行防護(hù)和查殺。
