”業(yè)內很多安全廠(chǎng)商認為該勒索軟件為Petya變體,并將其命名為“PetrWrap”,但也有安全廠(chǎng)商認為這是一款全新的勒索軟件,比如卡巴斯基將該勒索軟件命名為“ExPetr”。
攻擊影響
一旦遭受攻擊,該勒索軟件會(huì )加密硬盤(pán)的MFT并修改MBR,然后在系統的定時(shí)任務(wù)中增加計算機重啟任務(wù)。一段時(shí)間后,系統會(huì )自動(dòng)重啟。重啟過(guò)程中,勒索軟件會(huì )仿冒磁盤(pán)檢查,并對磁盤(pán)進(jìn)行加密操作。然后提示用戶(hù)支付$300的比特幣,否則無(wú)法正常使用系統。
攻擊途徑
經(jīng)過(guò)華為未然實(shí)驗室持續監測分析發(fā)現:勒索軟件首先通過(guò)電子郵件感染內網(wǎng)用戶(hù),具體方法是通過(guò)釣魚(yú)郵件發(fā)送含有CVE-2017-0199漏洞的RTF文檔。當用戶(hù)不小心打開(kāi)該惡意文檔后,用戶(hù)電腦中便自動(dòng)執行惡意代碼,加載該勒索軟件。
當該勒索軟件登陸內部主機后,通過(guò)下面兩種方法進(jìn)行內網(wǎng)的橫向傳播:
- 通過(guò)破解系統的弱口令進(jìn)行傳播;
- 利用“永恒之藍”漏洞(MS17-010)進(jìn)行傳播。
勒索軟件傳播示意圖
華為教你四步應對法
1F不要打開(kāi)可疑郵件
利用釣魚(yú)郵件進(jìn)行傳播是勒索軟件感染的一個(gè)常用方法,用戶(hù)應加強安全意識,在任何時(shí)候,遇到來(lái)歷不明的郵件,或攜帶不明附件和不明鏈接的郵件,請勿打開(kāi)。
2F更改系統口令
為避免系統口令被破解,使用弱口令的用戶(hù)應立即修改系統密碼,設置高強度密碼。
3F更新漏洞補丁
- 針CVE-2017-0199漏洞,請及時(shí)更新如下補丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
- 針對“永恒之藍”(MS17-010)漏洞,請及時(shí)更新如下補丁:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4F臨時(shí)措施
- 關(guān)閉139,445端口,此前我們針對 WannaCry 已經(jīng)提供過(guò)具體方法。
- 關(guān)閉WMI服務(wù),步驟如下:
- 運行“services.msc”。
- 雙擊“Windows Management Instrumentation”。
- 停止相應服務(wù)。
有研究人員發(fā)現,該勒索軟件也存在Kill Switch。該勒索軟件在運行時(shí),首先會(huì )搜索某個(gè)本地文件,如果該文件存在,則退出加密過(guò)程。用戶(hù)只需要在c:\windows目錄下創(chuàng )建明文 “perfc”的文件,并將其權限設置為“只讀”即可。
- 已經(jīng)有安全專(zhuān)家為戶(hù)寫(xiě)好了腳本:
https://download.bleepingcomputer.com/bats/nopetyavac.bat
事后應對,不如防患于未然
基于傳統的以防御為中心的安全防護體系已不能有效防御未知威脅,針對勒索軟件僅僅依靠簽名的更新也是不夠的,因此需要建設以未知威脅檢測為核心的安全防御體系。
華為安全精準檢測未知威脅
華為FireHunter6000沙箱通過(guò)病毒掃描、信譽(yù)掃描、靜態(tài)分析和虛擬執行等技術(shù),以及獨有的行為模式庫技術(shù),根據情況分析給出精確的檢測報告,實(shí)現對未知惡意文件的檢測。配合其他安全設備,能快速對高級惡意文件進(jìn)行攔截,有效避免未戶(hù)。
50+文件類(lèi)型檢測,全面識別未知惡意軟件;
- 4重縱深檢測,準確性達99.5%以上;
- 秒級聯(lián)動(dòng)響應,快速攔截未知惡意軟件。
此次勒索軟件借助兩個(gè)重要漏洞進(jìn)行傳播:CVE-2017-0199和MS17-010,這兩個(gè)漏洞均為已知漏洞,華為安全產(chǎn)品可以有效檢測攜帶CVE-2017-0199利用代碼的惡意文檔和針對MS17-010漏洞利用的蠕蟲(chóng)感染流量。
通過(guò)還原郵件流量并將提取出的郵件附件送檢,華為FireHunter6000沙箱可以有效捕獲郵件附件中的惡意RTF文檔,并識別其中如Petya勒索軟件及可疑的網(wǎng)絡(luò )通訊活動(dòng):
華為用戶(hù)如何獲取防護能力?
華為入侵防御相關(guān)產(chǎn)品亦可檢測針對CVE-2017-0199和MS17-010漏洞的攻擊,請用戶(hù)升級IPS特征庫來(lái)獲得防護能力:
標題
內容
備注
IPS簽名庫版本
20170628xx
xx是根據不同型號的編碼,日期比這個(gè)庫新的版本都可以防護此漏洞。
IPS簽名ID
372910 372912 372913
Microsoft Office OLE2Link 遠程代碼執行漏洞。
支持的設備類(lèi)型
USG6000/9500系列,Eudemon8000E系列,NIP6000以上系列產(chǎn)品
具體情況,請參考IPS簽名庫下載網(wǎng)址。
IPS簽名庫的下載地址
http://sec.huawei.com/
-
升級方法
聯(lián)網(wǎng)設備可以自動(dòng)升級,若需手動(dòng)升級,請從上述地址下載離線(xiàn)升級包。
此外,我們仍然建議用戶(hù)按照上一章的建議升級系統補丁,以修復漏洞,從根本上消除被攻擊的可能。
