Petya最新變種須知

下一個故事

Created: 2017-09-06 07:59:01

Petya最新變種須知
 
 
最近發生的全球網路攻擊,ESET將其檢測為Win32/Diskcoder.C,而這再次凸顯出過時的系統和不足的安全解決方案仍然普遍存在。
 
此次攻擊所造成的損失方面存在著許多疑問,ESET資安專家在這裡為您解答。
 
該病毒的特點是什麼?
  • 加密:只加密特定副檔名的檔,但也會嘗試加密MBR (Master Boot Record)。
  • 傳播:像蠕蟲一樣,他可以透過網路傳播並感染其他台電腦。
  • 利用漏洞:利用了尚未更新和安裝安全更新的電腦中所存在的漏洞。
 
是否與WannaCryptor具有同樣強的破壞力?
兩者感染後的後果相同,使用者無法讀取系統中存儲的資料。但Diskcoder.C不僅僅加密漏洞電腦上的檔案,更在系統重啟後,使作業系統無法載入,迫使受害者重新安裝系統。
 
與WannaCryptor傳播方式相同嗎?
部分相同,但不盡然。雖然兩者都利用了美國國家安全局的漏洞入侵工具-永恆之藍,但Win32/Diskcoder.C還利用了其他傳播技術,通過濫用Microsoft Windows所供Sysinternals工具包中的PsExec等合法工具,以及Windows Management Instrumentation Command-line (WMIC)進行傳播;後者是為運行Windows作業系統的本地或遠端電腦提供的一種資料和功能管理資源。
 
與Mischa和Petya有何類似之處?
將這三種惡意程式家族歸為一類的主要原因,是因為它們除了加密作業系統之中的檔案資料外,還會通過加密MBR的方式,使作業系統無法運行。除這共通性以外,它們之間再沒多少相同之處,所採用的技術和處理機制各有不同。
 
 
該病毒的具體工作原理是什麼?
惡意程式運行後,首先會建立在特定時間之後重啟電腦的排程任務,通常不超過60分鐘。
 
 
此外,該病毒還會查看是否存在可以複製自身到共用資料夾或隱藏磁碟區。如果存在,則會利用WMIC在遠端設備上運行惡意程式。
 
 
接著,該病毒開始加密含有特定副檔名的檔案。需要強調的是,Win32/Diskcoder.C與多數勒索病毒不同,不會在加密每個檔後修改或添加特定副檔名;後者是攻擊者廣泛運用、區別染毒檔的方式之一。
 
下圖中,可以看到病毒試圖加密的檔案的副檔名:
 
 
此外,該病毒還試圖刪除事件日誌、不留下任何線索,並隱藏其行為。使用上述技巧執行命令列的畫面,如下圖所示:
 
 
如何傳播?
如上所述,傳播技術是該病毒的主要特徵。一旦成功感染電腦後,病毒會嘗試提取使用者帳戶和密碼,並配合PsExec和WMIC搜索共用資料夾和隱藏磁碟區,然後在通過電腦網路傳播。借助這種方式,便可感染位於其他國家和海外地區的電腦。
 
多數情況下,跨國公司團隊在通過同一網路連接位於歐洲或亞洲的其他分公司時,便會受到病毒感染。病毒的傳播機制與蠕蟲相同。
 
如何防範這一病毒?請參考以下五個建議:
 
1.使用專業可值得信賴的防毒軟體 (ESET NOD32)
在家用和工作電腦上安裝防毒軟體,確保定期更新系統。需正確配置port,明確開放port及其開放原因 – 尤其是WMI和PsExec所使用的135、139、445和1025-1035 TCP port。

2.阻止EXE檔案
在資料夾%AppData%和%Temp%中阻止EXE執行,禁用預設ADMIN$帳戶與Admin$共用資料夾。可以的話禁用SMB v1。

3.監測網路狀態
確保網路配置正確、分級管理,時刻檢測網路流量並查找異常行為。

4.備份資料
找出電腦上的關鍵資料和資料,做好備份 – 將備份檔案離線儲存。一旦您的電腦不幸感染勒索病毒,可將資料資料回復到近期狀態。

5.密碼管理
必須認真管理密碼。如果不同管理中心統一使用同一密碼,一旦其中一台電腦染毒,便可洩露管理員帳戶和密碼,從而可導致整個網路染毒。作為防範措施,最好確保不同團隊和管理中心各自使用不同的密碼。
同時啟用【雙重身份驗證機制】(ESET雙重認證安全)也十分重要,因為它為驗證使用者身份的帳戶密碼提供了一道新增安全屏障。一旦某台設備不幸中毒,便能夠在病毒試圖獲取其他電腦管理許可權之時,阻止病毒在網路內部橫向傳播。
 
已染毒且無法訪問系統,怎麼辦?
可借助取證技術,嘗試在記憶體中運行另一作業系統,以讀取已加密檔。但除了恢復備份,可以避免重裝作業系統外,再沒有其他更好的解決途徑。
對於此病毒,繳交贖金是沒有任何意義的,ESET近期所作的TeleBots調查結果顯示,攻擊背後的疑似駭客團隊表示,Win32/Diskcoder.C並非常規意義上的勒索病毒。
雖然該病毒加密檔並索要300美元解密贖金,但攻擊者實際想要的效果 – 也正是他們的主要目標 – 就是造成損失。因此,他們竭盡全力,使資料幾乎不可能解密。
此外,該病毒還能夠運用自身惡意程式碼,修改MBR。但這種操作方式本身,使主引導記錄根本無法恢復。攻擊者根本無法提供解密金鑰,同時解密金鑰也無法輸入到勒索介面之中,因為所生成的密碼含有非法字元。
 
缺乏安全意識、公司教育訓練不足和相關網路安全技能缺乏,是造成檔案被勒索的主要原因之一。不幸的是,許多職員仍未意識到網路攻擊對公司經營帶來的潛在危害,直到淪為受害者、被勒索支付贖金,而此時也為時已晚。由於網路罪犯遇到的防禦水準較低,因此他們更有動力持續利用薄弱環節,開發出新的勒索病毒並成功執行攻擊,造成用戶損失。因此擁有資安危機意識是很重要的,預防措施永遠更勝於後續補救,ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體,抵禦網路攻擊或資安威脅,協助您打造良好的資安環境。