行动起来,阻断Petya传播途径!

北京时间6月27日,据国外社交媒体消息,乌克兰、俄罗斯两国的政府机构、机场、银行以及多家大型工业企业部分计算机系统遭受勒索病毒威胁,导致主机无法正常引导开机,严重影响了国家多个正常业务的运转;同时6月27日晚间,国内部分外企也确认有发现感染同样的勒索病毒。

简介

北京时间627日,据国外社交媒体消息,乌克兰、俄罗斯两国的政府机构、机场、银行以及多家大型工业企业部分计算机系统遭受勒索病毒威胁,导致主机无法正常引导开机,严重影响了国家多个正常业务的运转;同时627日晚间,国内部分外企也确认有发现感染同样的勒索病毒。

感染此勒索病毒的计算机在重新启动开机后,出现以下界面,除非用户按照屏幕提示的支付赎金,否则用户将无法继续正常启动计算机。

同时用户计算机中的重要文件,也将会被此勒索病毒加密,无法通过数据恢复的方式恢复,造成信息损失。

 .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp

 .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd

 .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt

 .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb

 .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

被加密的文件名后缀涵盖office文档、压缩包、虚拟磁盘文件、程序源代码等超过60种文件格式。

根据勒索信息判断,此勒索病毒为Petya的变种。和之前版本的Petya的最大区别在于,此次的Petya勒索病毒最新变种,具有蠕虫传播的特征,会通过多种方式进行内网传播执行。

1 通过自带的密码窃取工具,盗取用户计算机上的登录凭据,用于文件共享复制传播,并使用PsExecWMIC工具在远程计算机上执行。

2 通过使用SMB漏洞利用工具 EternalBlue EternalRomance,在网络中复制传播执行。

传播途径

此勒索病毒可以通过今年4月份曝出的Office 0day漏洞(CVE-2017-0199),通过恶意RTF文件进行钓鱼攻击。一旦执行后,其会解密出其资源中的4个文件用于后续内网传播。

解密后的4个文件功能分别为:

– 1  64位系统中的密码内存窃取工具,类似Mimikatz

– 2  32位系统中的密码内存窃取工具,类似Mimikatz

– 3  Windows PsExec 工具

– 4  EternalBlue的数据包

勒索病毒会根据系统的运行环境,32位还是64位系统,将对应版本的密码内存窃取工具,释放到系统临时目录下。

执行释放的密码内存窃取工具,从用户活跃的session中窃取用户密码,然后通过创建管道 “\\.\pipe\{ 随机的CLSID }”进行进程间通信,读取窃取的用户密码。

一旦有了密码,通过网络共享,将其复制到内网其他主机上。

然后将解密出的3号资源释放到系统目录下,重命名为dllhost.dat。此文件实际上Windows PsExec 工具,具有微软的数字签名,可以在远程系统上执行程序。

利用此工具通过下面的命令在内网远程主机上运行此前已复制的勒索病毒本体。

dllhost.dat \\{远程主机IP} -accepteula -s -d C:\Windows\System32\rundll32 “C:\Windows\perfc.dat”,#1

如果执行失败,则还会通过WMIC的方式在内网远程主机上尝试执行,实现蠕虫式的传播执行。

Wbem\wmic.exe /node:”远程主机IP” /user:”username” /password:”password” “process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\perfc.dat\” #1″

此外,这个勒索病毒还会尝试用之前NSA泄露的 EternalBlue EternalRomance 利用工具进行传播。

防护方案

及时更新终端安全防护软件,并更新到最新。

及时更新Windows安全补丁,重点检查MS17-010补丁安装情况。

  – Office RTF 漏洞(CVE-2017-0199)补丁地址

  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

  – MS17-010 SMB漏洞补丁地址

  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

及时告知终端用户尽量避免打开未知邮件中的链接或附件,谨慎从网络下载各类可执行程序。

在非业务所需的机器上,可以禁止WMIC和远程文件共享功能。

绿盟威胁分析系统(TAC)检测通过网页、邮件或文件共享方式试图进入内部网络的恶意软件,是专门检测邮件高级威胁的网络沙箱类安全产品。

该产品主要针对包含未知威胁代码的鱼叉APT攻击和勒索软件两大类高级邮件威胁。

企业网络管理员可使用绿盟入侵防御系统NIPS对网络中的攻击报文和Doublepulsar后门连接报文进行阻断,防范病毒进一步扩散,如下图:

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment