当前位置:首页 > 信息公开 > 通知公告

新型勒索病毒Petya说明及解决建议

2017-06-30 来源: 【打印】

 

新型勒索病毒Petya说明及解决建议

Petya勒索病毒与Wannacry勒索病毒技术同源(基于NSA的永恒之蓝代码)。这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑。本周二,该病毒开始在全球爆发,英国(WPP)、乌克兰、波兰、意大利、丹麦(Maersk)、俄罗斯(Rosnoft)美国(Merck)多家大型企业报告遭受病毒袭击,其中重灾区乌克兰的政府、国有银行、交通、能源等关键基础设施和部门遭受袭击,甚至乌克兰总理的电脑都遭受攻击。

Petya勒索病毒也会扫描内网并通过SMB协议漏洞传播,但与Wannacry不同,Petya还利用了四月份公布的另外一个Windows漏洞,攻击者可以利用钓鱼邮件发送的恶意文件在受害者电脑上运行命令。这也使得Petya勒索病毒能够感染此前已经修补永恒之蓝漏洞补丁的计算机。

一、 PetyaWannaCry病毒的对比

1、加密目标文件类型

Petya加密的文件类型相比WannaCry少。

Petya加密的文件类型一共65种,WannaCry178种,不过已经包括了常见文件类型。

 

2、支付赎金

Petya需要支付300美金,WannaCry需要支付600美金。

 

二、   勒索病毒传播方式分析

Petya勒索蠕虫通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染Petya勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。

Petya勒索病毒在内网系统中,主要通过Windows的协议进行横向移动。

特别需要注意的是 Petya的还可以借助的是企业信息安全最薄弱的环节:电子邮件

 

三、 安全建议

Ø        警告并培训终端用户加强对钓鱼邮件附件的防范。不要点击未知链接和附件,尤其是rtfdoc等格式

Ø        在核心交换机和防火墙上关闭TCP 135端口以抑制病毒传播行为(Wannacry勒索病毒相同)

Ø        对采用了Windows操作系统的服务器和PC,立即安装微软补丁。补丁下载地址:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx(此补丁Wannacry勒索病毒相同)

更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁(新补丁)

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

Ø        禁用WMI服务;

Ø        立即更新杀毒软件;

Ø        备份重要数据。