校园网用户:
近期互联网发现有新型勒索病毒Petya爆发情况,请校园网用户及时更新操作系统,打好补丁。
一、事件分析
根据乌克兰CERT官方消息,邮件附件是本次病毒攻击的传播源头。病毒在运行之后,会枚举内网电脑并尝试使用SMB协议进行连接。同时病毒会修改系统引导区(MBR),当电脑重启后,病毒会在操作系统运行之前先启动。
这次攻击是勒索病毒“必加”(Petya)的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。从推理分析来看,该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。
同时根据初步分析,其可能具有感染域控制器后提取域内机器口令的能力,因此其对内网具有一定的穿透能力,对内网安全总体上比此前受到广泛关注的魔窟(WannaCry)有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。目前为止国内暂无大面积感染迹象。
二、建议防护策略
1.不要轻易点击不明附件,尤其是rtf、doc等格式文件。
2.内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。
3.更新操作系统补丁(MS)
补丁来源:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4.更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)
补丁来源:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5.禁用WMI服务。
信息中心
2017-6-30
