關于防范Petya勒索病毒及其變種Petwarp的緊急通知

各有關單位

627,據相關機構通報,Petya勒索病毒及其變種Petwarp對烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國進行攻擊,政府、銀行、電力系統、通訊系統、企業及機場都不同程度地受到了影響,部分歐洲駐我國分支機構也被感染?,F將有關情況通知如下:

一、病毒情況

Petya勒索病毒對硬盤驅動器主文件表(MFT)進行加密,使主引導記錄(MBR)不可操作,以占用物理磁盤上的文件名、大小和位置信息,限制對完整系統的訪問,從而讓電腦無法正常啟動。被感染電腦若需恢復,需支付價值300美元的比特幣。該病毒影響范圍包括Windows XP及以上版本的操作系統。

經相關機構對部分病毒樣本初步分析發現,此次攻擊的勒索病毒是Petya的新變種Petwarp。該變種疑似采用了郵件、下載器和蠕蟲的組合傳播方式,采用CVE-2017-0199漏洞的RTF格式附件進行郵件投放,之后釋放Downloader來獲取病毒母體,形成初始擴散節點,之后通過MS17-010(永恒之藍)漏洞和系統弱口令進行傳播。分析表明,該病毒可能具有感染域控制器后提取域內機器口令的能力。

二、防范措施

本次Petya勒索病毒利用的并非0DAY、1DAY漏洞,而是利用的陳舊漏洞,其傳播方式也是利用類似弱口令/空口令此類基本配置問題。這些問題說明,系統策略加固和及時的漏洞補丁升級,是保證安全的必要手段。

1.郵件防范。帶有不明附件的郵件請勿打開,收到的不明鏈接請勿點擊;

2.更新補丁。一是更新操作系統補?。?span lang="EN-US">MS),地址:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;

二是 更新Microsoft Office/WordPad遠程執行代碼漏洞(CVE-2017-0199)補丁,地址:https://technet.microsoft.com/zh-cn/office/mt465751.aspx。

3.禁用WMI服務。禁用操作方法:https://zhidao.baidu.com/question/91063891.html。

4.更改空口令和弱口令。如操作系統存在空口令或弱口令的情況,請及時將口令更改為高強度的口令。

5.使用各網絡安全公司提供的針對“永恒之藍”病毒的免疫工具。

如已感染該病毒,建議重新安裝系統,更新補丁、禁用WMI服務、使用免疫工具進行免疫。如有重要文件被加密,已開啟Windows自動鏡像功能的,可嘗試恢復鏡像,或等待后續可能出現的解密工具。

山東科技大學網絡與信息中心

2017年6月29日

 

發布時間:2017-06-29 點擊 37102 分享:

網絡公告
關于對Windows遠程代碼執行高危漏洞開展安全加固的預警通報 19-05-16
關于緊急防范新型木馬和WinRAR漏洞的通知 19-02-23
關于轉發“青島市公安局關于加強防范釣魚郵件的緊急通知”的通知 18-06-04
關于防范“釣魚郵件”的通知 18-05-28
關于Weblogic反序列化遠程代碼執行漏洞的預警通報 18-04-23
關于防范挖礦僵尸網絡新變種病毒的通知 18-04-17
關于使用交互式電子白板的說明 18-03-21
新版辦公系統(OA系統)設置說明 18-01-02
關于應對Bad Rabbit勒索軟件的緊急通報 17-10-26
山東科技大學新郵件系統啟用通知 17-10-19
關于對Windows Office遠程代碼執行漏洞 開展安全加固的緊急通報 17-10-12
關于防范Petya勒索病毒及其變種Petwarp的緊急通知 17-06-29
MORE..
相關新聞

2012中文字幕高清在线