2017年6月28日,在“永恒之蓝”勒索病毒阴霾还并未几乎减弱时,一个取名为“Petya(中文音译彼欠佳)”的近期勒索病毒再次侵袭全球。目前,还包括乌克兰首都国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭了反击。目前影响的国家有UK、Ukraine、India、Netherlands、Spain、Denmark等。据瑞星反病毒监测网监测,目前在中国国内也经常出现用户遭反击的情况。
根据瑞星威胁情报数据平台表明,Petya勒索病毒目前在北京、上海、甘肃、江苏等地皆有少量病毒感染。目前有数36人交付给赎金。 图:勒索病毒地址及交付给赎金人数 据瑞星安全性专家通过对本次事件分析找到,Petya勒索病毒釆用(CVE-2017-0199) RTF漏洞展开钓鱼反击,通过EternalBlue(永恒之蓝)和EternalRomance(永恒爱情)漏洞纵向传播,用户一旦病毒感染,病毒不会改动系统的MBR引领扇区,当电脑重新启动时,病毒代码不会在Windows操作系统之前接管电脑,继续执行加密等蓄意操作者。
当加密已完成后,病毒拒绝受害者缴纳价值300美元的比特币之后,才不会恢复解密密钥。 目前,瑞星所有企业级产品与个人级产品均可对该病毒展开截击并查杀,期望广大瑞星用户将瑞星产品改版到最新版。
Virustotal网站扫瞄Petya勒索病毒 瑞星等杀毒软件顺利查杀图片 瑞星防水建议 1、改版操作系统补丁(MS) (请求砍链接) 2、改版 Microsoft Office/WordPad 远程继续执行代码漏洞(CVE-2017-0199)补丁 (请求砍链接) 3、停止使用 WMI 服务 (请求砍链接) 4、加装杀毒软件,并打开主动防御。 5、不要页面陌生邮件的附件。 病毒详细分析 背景讲解 新的勒索病毒petya攻击多国,通过EternalBlue(永恒之蓝)和EternalRomance(永恒爱情)漏洞传播。与WannaCry比起,该病毒不会加密NTFS分区、覆盖面积MBR、制止机器长时间启动,使计算机无法用于,影响更为相当严重。
加密时会伪装成磁盘修缮: 图:加密时伪装成 加密后不会表明如下勒索界面: 图:勒索信息 详细分析 反击流程: 图:反击流程 加密方式: 图:加密磁盘 启动后就不会继续执行加密 图:重新启动机器 加密的文件类型 图:加密文件类型 传播方式: 病毒使用多种病毒感染方式,主要通过邮件投毒的方式展开定向反击,利用EternalBlue(永恒之蓝)和EternalRomance(永恒爱情)漏洞在内网纵向渗入。 图:漏洞利用 图:局域网传播 勒索信息: 作者邮箱和比特币钱包地址 图:作者邮箱和钱包地址 加密后的勒索信 图:勒索信 通过查阅作者比特币钱包交易记录,找到早已有受害者向作者缴纳比特币 图:比特币钱包原创文章,予以许可禁令刊登。下文闻刊登须知。
本文来源:皇冠信用网址-www.kasvisrkeidas.com
14226503435