學習啦>學習電腦>電腦安全>網絡安全知識>《【網絡安全】:新勒索病毒Petya來襲怎么辦?有什么預防辦法?》正文

【網絡安全】:新勒索病毒Petya來襲怎么辦?有什么預防辦法?

時間:2019-07-17 16:05:42本文內容及圖片來源于讀者投稿,如有侵權請聯系[email protected] 伯超 我要投稿

  新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導致歐洲多國的多個組織、多家企業的系統出現癱瘓。新變異病毒(Petya)不僅對文件進行加密,而且直接將整個硬盤加密、鎖死,在出現以下界面并癱瘓后,其同時自動向局域網內部的其它服務器及終端進行傳播,那么我們該怎么辦?下面小編就為大家介紹一下,一起來看看吧!

  本次新一輪變種勒索病毒(Petya)攻擊的原理:

  經普華永道網絡安全與隱私保護咨詢服務團隊的分析,本次攻擊的病毒被黑客進行了更新,除非防病毒軟件已經進行了特征識別并且用戶端已經升級至最新版病毒庫,否則無法查殺該病毒,病毒在用戶點擊帶病毒的附件之后即可感染本地電腦并對全盤文件進行加密,之后向局域網其它服務器及終端進行自動傳播。
【網絡安全】:新勒索病毒Petya來襲怎么辦?有什么預防辦法?

  以上所述的Petya病毒攻擊及傳播原理,與“5.12WannaCry”以及“6.23勒索軟件新變種”病毒的攻擊及傳播原理一致,不同點在于:

  1.感染并加密本地文件的病毒進行了更新,殺毒軟件除非升級至最新版病毒庫,否則無法查殺及阻止其加密本機文件系統;

  2.“5.12WannaCry”及“6.23勒索軟件新變種”在傳播方面,分別利用了微軟Windows系統的一個或者若干個系統漏洞,而Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統漏洞,包括MS17-010(5.12WannaCry永恒之藍勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補丁對應的多個系統漏洞進行傳播。

  3.本次新變異病毒(Petya)是直接將整個硬盤加密和鎖死,用戶重啟后直接進入勒索界面,若不支付比特幣將無法進入系統。
【網絡安全】:新勒索病毒Petya來襲怎么辦?有什么預防辦法?

  應對建議:

  目前優先處理步驟如下:

  1、補丁修復(如已按我們之前的通報,升級所有補丁,則可略過此步驟)

  2、殺毒軟件升級及監控

  3、提升用戶信息安全意識度

  1.補丁修復:

  如前所述,本次Petya利用了“5.12WannaCry”及“6.23勒索軟件新變種”的所有漏洞,因此,補丁方面必須完成“5.12WannaCry”及“6.23勒索軟件新變種”對應的所有補丁,包括:
【網絡安全】:新勒索病毒Petya來襲怎么辦?有什么預防辦法?

  廠商無補丁或無法補丁的修復建議:

  端口限制:使用系統自帶的防火墻設置訪問規則,即使用系統自帶的防護墻,設置遠程訪問端口137、139、445、3389的源IP:
【網絡安全】:新勒索病毒Petya來襲怎么辦?有什么預防辦法?

  3389端口設置:

  Windows 2003:通過防火墻策略限制訪問源IP
【網絡安全】:新勒索病毒Petya來襲怎么辦?有什么預防辦法?

  Windows 2008:在組策略中關閉智能卡登錄功能:

  組策略(gpedit.msc)-->管理模板-->Windows組件-->智能卡
【網絡安全】:新勒索病毒Petya來襲怎么辦?有什么預防辦法?

  2.殺毒軟件升級及監控

  確認最新病毒庫已經可以查殺Petya病毒;升級相應病毒庫并推送至所有服務器及主機。

  3.提升用戶信息安全意識度:

  本次Petya病毒的感染源頭依然是通過電子郵件向用戶發送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開),所以提升用戶信息安全意識度是關鍵的應對措施之一。

  用戶下載文件包中如發現包含有異常的附件,則必須注意該附件的安全,在無法確定其安全性的前提下,提醒用戶不要打開。

  建議進一步加強對高管及用戶的信息安全意識度宣貫,并且需要結合最新的信息安全趨勢或者熱點問題進行不同主題的宣貫,而且要持之以恒。

  WannaCry勒索病毒攻擊者利用Windows系統默認開放的445端口在企業內網內進行病毒傳播與擴散,并且更為嚴重的是,攻擊者不需要用戶進行任何操作即可自行進行病毒的感染與擴散。感染后的設備上所有的文件都將會被加密,無法讀取或者修改,也即造成了整個系統的癱瘓:

  在5月13號,普華永道網絡安全法及隱私保護咨詢服務團隊向您做出了及時的通報,并提供了有關的應對建議,同時協助許多客戶進行了應對操作(譬如立即修補有關系統補丁,如MS17-010補丁等)。

  在6月13日,微軟發布了Windows系統的新漏洞通報(“CVE-2017-8543、CVE-2017-8464”),并且提供了有關的補丁。在昨天(6月22日),黑客利用微軟Windows系統的上述新漏洞,開發出新變種的勒索病毒,并在過去幾天向互聯網展開了初步攻擊,由于感染及傳播需要一定的時間,因此,攻擊效果集中于昨天出現。截至今日,主要受攻擊及影響的對象集中于工廠、酒店、醫院及零售行業。

  本次新一輪變種勒索病毒攻擊的原理:

  本次攻擊利用了微軟Windows系統的兩個新漏洞“CVE-2017-8543、CVE-2017-8464”,該病毒利用以下方式來攻擊并加密被攻擊對象系統中的文件:

  1.利用Window Search(Windows Search的功能是為我們電腦中的文件、電子郵件和其他內容提供內容索引、屬性緩存和搜索結果,默認的服務狀態是處于開啟的狀態)漏洞來提高權限并遠程執行加密命令,從而達到對全盤文件進行加密的結果;

  2.自動創建Windows快捷方式LNK(.lnk),通過LNK來提高權限,并對文件進行加密。

  在加密過程中,全程都沒有任何彈框提示就直接加密文件或導致電腦藍屏(這是與5.12勒索病毒軟件不同的其中一個特點)。

  應對建議:

  目前優先處理步驟如下:

  1、補丁修復

  2、添加郵件網關黑名單

  3、殺毒軟件升級及監控

  4、提升用戶信息安全意識度

  1.補丁修復:

  目前微軟已發出補丁,下載地址如下:

  https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

  具體操作指南:

  先打開https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms,會看到CVE-2017-8543、CVE-2017-8464,找到相應版本的補丁進行下載(目前XP、Window2003不受影響),并執行相應主機及個人電腦的補丁升級。

  2.添加郵件網關文件黑名單

  在原有的黑名單上,增加如下后綴:

  .lnk

  .link

  3.殺毒軟件升級及監控

  3.1.病毒庫升級及推送至所有服務器及主機;

  3.2.殺毒軟件控制臺監控:

  查看殺毒軟件控制臺查看報警信息,如是否有入侵事件,如針對SMB攻擊(如SMB BoublePulsar ping、溢出攻擊),對已感染的進行處理;

  本次新勒索病毒變種,雖然是利了微軟Windows系統的新系統漏洞,但其感染源頭依然是通過電子郵件向用戶發送勒索病毒文件的形式(或者是用戶主動下載帶病毒的軟件并打開),所以提升用戶信息安全意識度是關鍵的應對措施之一。

  用戶下載文件包中如發現包含有異常的附件(本次是.lnk/.link的文件),則必須注意該附件的安全,在無法確定其安全性的前提下,提醒用戶不要打開。

  建議進一步加強對高管及用戶的信息安全意識度宣貫,并且需要結合最新的信息安全趨勢或者熱點問題進行不同主題的宣貫,而且要持之以恒。

  好了今天小編的介紹就到這里了,希望對大家有所幫助!如果你喜歡記得分享給身邊的朋友哦!

【網絡安全知識】圖文推薦
【網絡安全知識】精華文章
【網絡安全知識】相關文章
學習啦友鏈、商務、投稿、客服:QQ:3061683909 郵箱[email protected]

Copyright @ 2006 - 2020 學習啦 All Rights Reserved

學習啦 版權所有 粵ICP備15032933號-1

我們采用的作品包括內容和圖片全部來源于網絡用戶和讀者投稿,我們不確定投稿用戶享有完全著作權,根據《信息網絡傳播權保護條例》,如果侵犯了您的權利,請聯系:[email protected],我站將及時刪除。

學習啦 學習啦

回到頂部 秒速赛车开奖记录 双色杀红球好的专家 3d历史保存在哪 信贷赚钱套路论坛 pk10猜冠军公式规律 pk10牛牛是不是坑 蛇怎么赚钱 天津十一选五开奖查询结果 彩票书 花样娱乐下载棋牌网站 湖北十一选五开奖查询 江西多乐彩彩乐乐 股票行情实时查询