Created: 2017-06-28 12:00:00
ESET偵測到的“Petya”Ransomware,於2017年6月27日最近更新為PDT:3:10
根據路透社和多個其他消息來源,在烏克蘭開始的大規模新型加密病毒正在攻擊歐洲和美國並蔓延到其他國家。 一開始受到影響的是丹麥航運公司-馬士基和英國廣告公司-WPP。
這個加密病毒似乎與Petya家族有關,目前ESET已經將其檢測出病毒攻擊行為並歸類為Win32/Diskcoder.C Trojan。
如果您安裝了ESET產品,ESET可防範此威脅。此外,任何具有網路防護功能的ESET Security系列產品均可主動防範由SMB擴散的可能性。Petya攻擊的規模正在與最近的WannaCry爆發模式相當類似。ESET的研究人員已經掌握了這一個全球性流行的加密病毒的攻擊行為。Petya成功地破壞了在烏克蘭各行業,包括金融機構受歡迎的會計軟件M.E.Doc。有幾個人執行了常見特洛伊木馬病毒攻擊行為的偽造檔案,目前造成歐美目前爆發橫跨全國和全世界的大規模的病毒攻擊。
【Petya攻擊行為模式】
Petya惡意軟體攻擊電腦的MBR(主引導記錄),而MBP主要的功能是啟動系統的關鍵部分包含有關硬碟啟動磁區的資料,並有助於啟動操作系統。
如果Petya成功感染MBR,它將對整個硬碟本身進行加密。 如果沒有它也會嘗試加密電腦內所有文件檔案,如同:Mischa。
Petya似乎跟WannaCryptor使用同樣的EternalBlue漏洞進行網路連接,然後透過PsExec進行攻擊。
*請使用ESET的免費EternalBlue漏洞檢測工具檢查您的Windows系統是否已更新
這種強大的攻擊模式可能是疫情迅速蔓延的原因,即使以前的疫情已經成為大家皆知頭條新聞,並且大多數漏洞應該已經被修補。 但是它只需要入侵一個未更新的電腦並進入網路就能開始散播。 惡意程式可以取得系統管理員權限並傳播到其他台電腦。
在烏克蘭,金融業,能源部門等多個行業受到攻擊。 對能源部門造成的損害範圍尚未得到確認,幸好目前沒有發生停電的情況,就像以前與ESET發現的臭名昭著的Industroyer惡意程式一樣。據報告顯示被Petya ransomware攻擊成功的電腦,會顯示跟Group-IB同樣訊息,其中包含以下翻譯內容:
“如果您看到這個訊息,那麼您的文件檔案不再可以讀寫,因為它們已被加密...我們保證您可以安全輕鬆地恢復所有文件檔案。
您只需要做的就是付款$ 300比特幣購買解密密鑰。“
ESET資安專家建議五點:
1.使用專業且信譽良好的防毒軟體(ESET NOD32)並保持更新。(很基本但是非常重要,雖然作業系統本身具有內建防火牆功能,並不意味著它不需要防毒軟體 )
2.確認您已經安裝所有最新的Windows更新和修補程序。
3.執行ESET的EternalBlue漏洞檢查工具,查看您的Windows電腦是否已經針對EternalBlue漏洞進行更新,並在必要時進行更新。
4.ESET家庭用戶:注意病毒碼是否更新到最新日期。
5.ESET企業用戶:可以手動對所有用戶端電腦發送病毒碼更新工作或在用戶端電腦防毒軟體進行病毒碼更新。
#欲購買產品:https://www.eset.tw/estore/zh/
或電洽ESET資安專業服務團隊:(02)7722-6899
加入電子報,可獲得最新資安防禦訊息:http://www.eset.tw/e-news/subscribe/
*ESET檢測工具:
ESET releases “EternalBlue Vulnerability Checker” to help combat WannaCry ransomware
原文出處:https://www.eset.com/us/about/newsroom/corporate-blog/petya-ransomware-what-we-know-now/