Petya勒索病毒來襲 騰訊雲釋出安全指引
6月27日,一種名為“Petya”的新型勒索病毒席捲了歐洲,烏克蘭等國家,多家銀行和公司,包括政府大樓的電腦都出現問題。
同時,在27號18點左右,騰訊雲聯合騰訊電腦管家發現相關樣本在國內出現,騰訊雲已實時啟動使用者防護引導,到目前為止,雲上使用者尚無感染案例,但建議沒打補丁使用者儘快打補丁避免感染風險。
經雲鼎實驗室確認,這是一種類似於“WannaCry”的勒索病毒新變種,傳播方式與“WannaCry”類似,其利用EternalBlue(永恆之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進行傳播,同時還具備區域網傳播手法。
騰訊雲主機防護產品雲鏡已實時檢測該蠕蟲,雲鼎實驗室將持續關注該事件和病毒動態,第一時間更新相關資訊,請及時關注,修復相關漏洞,避免遭受損失。
病毒特徵
在中了該病毒後,電腦將會被鎖住,出現以下勒索提示資訊,並要求支付300美元的比特幣才能解鎖。
影響範圍
通過分析,我們發現病毒採用多種感染方式,其中通過郵件投毒的方式有定向攻擊的特性,在目標中毒後會在內網橫向滲透,通過下載更多載體進行內網探測。
網路管理員可通過,監測相關域名/IP,攔截病毒下載,統計內網感染分佈:
84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
COFFEINOFFICE.XYZ
french-cooking.com
網路管理員可通過如下關鍵HASH排查內網感染情況:
415fe69bf32634ca98fa07633f4118e1
0487382a4daf8eb9660f1c67e30f8b25
a1d5895f85751dfe67d19cccb51b051a
71b6a493388e7d0b40c83ce903bc6b04
防護方案
經過確認,勒索病毒是利用EternalBlue進行傳播,可以採用以下方案進行防護和查殺:
1、 騰訊雲使用者請確保安裝和開啟雲鏡主機保護系統,雲鏡可對海量主機集中管理,進行補丁修復,病毒監測。
2、 更新EternalBlue&CVE-2017-0199對應漏洞補丁
補丁下載地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
3、 終端使用者使用電腦管家進行查殺和防護
電腦管家已支援對EternalBlue的免疫和補丁修復,也支援對該病毒的查殺,可以直接開啟電腦管家進行防護和查殺。