Petya變種 – 全球勒索軟體攻擊的幕後黑手: 我們至今所了解的事實

CorporatePetyaRansomware
ransomware petya

作者: Bill Brenner

作者按: Sophos客戶可參考這Knowledge Base Article的技術資訊更新,這包含我們正偵測和攔截的攻擊變種。這文章將就最新消息不斷更新。

 

SophosLabs已斷定新型Petya勒索軟體變種 (亦稱GoldenEye) 是今天大型肆虐歐洲、俄羅斯、烏克蘭等地的網路攻擊的幕後黑手。其他資安業界的組織稱它為PetrWrap。

這新網路攻擊與之前的有所分別,它包含EternalBlue漏洞入侵元素以在鎖定的網路傳播開去。這漏洞攻擊針對Windows Server Message Block (SMB) 服務,這用作在跨本地網路共享文件和打印機。微軟早已在今年三月就這問題發出MS17-010 公告,但這漏洞証實促成了上個月的大型WannaCry網路攻擊。

Petya亦企圖在組織內部傳播開去,它破解管理員密碼,利用遠程管理員工具以感染其他網路上的電腦。它更可透過感染其他電腦的共享網路以在內部傳播。

它運行一個盜取登入憑證的代碼以破解用戶帳戶密碼,以部署勒索軟體。為感染遠端電腦,它把一個合法的遠程管理員工具 (微軟的SysInternals套裝的PsExec) 與之捆綁一起,以感染遠端電腦。

ransomware petya
在受害者的電腦上顯示的勒索註記

Sophos 的防護方案

使用Sophos Endpoint Protection的客戶已得到防禦所有這勒索軟體的新近變種。我們首次在6月27日13:50 (UTC時間) 發出保護,並已提供數個更新以進一步防禦未來可能爆發的變種。

另外,使用Sophos Intercept X的客戶已在這新勒索軟體出現時先發制人主動受到保護,因此資料不會遭到加密。

再者,客戶可選擇限制用戶在其網路上使用PsExec和其他雙用管理員工具。Sophos Endpoint Protection提供PUA偵測,針對psexec和其他不需在每台電腦和每位用戶安裝的遠程管理員軟體。

 

防禦措施

建議使用者立即採取的行動

  • 確保系統具有最新的修補程式,包括Microsoft MS17-010 公告中所提
  • 考慮禁止 Microsoft PsExec 工具在使用者電腦上執行。您可以使用如 Sophos Endpoint Protection 等產品來加以阻擋。Petya 變種在自動傳播的另一種方法的一部份中會使用該工具的特定版本
  • 定期備份,並在異地保留最近的備份副本。除了勒索軟體之外,還有幾十種方式會讓檔案突然消失,例如火災、洪水、竊盜、筆記型電腦遺失,甚至是意外刪除。加密您的備份,就不必擔心備份裝置落入他人之手
  • 避免開啟來自不明寄件者的電子郵件附件,即使您在人力資源或會計部門工作,並且經常使用附件
  • 下載 Sophos Intercept X 的免費試用版。家庭 (非商業用戶) 請註冊免費的 Sophos Home Premium Beta,透過防止硬碟上的檔案和磁區遭到未經授權的加密來防禦勒索軟體

 

為了避免由電子郵件闖入的網路攻擊,請參考:

 

英文原文:  https://nakedsecurity.sophos.com/2017/06/27/breaking-news-what-we-know-about-the-global-ransomware-outbreak/

(本博文為翻譯本,內容以英文原文為準)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.