Petya勒索软件通过乌克兰被感染的会计软件爆发
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月29日讯 北京时间6月27日,Petya勒索软件大范围爆发,从而刷爆各大媒体版面、朋友圈、微博等。据思科Talos、ESET、MalwareHunter、卡巴斯基实验室、乌克兰警方等多种消息来源表示,不知名的攻击者感染了M.E.Doc(M.E.Doc是乌克兰公司使用的热门会计软件)更新服务器,并向客户推送了这个恶意软件更新。
当更新到达M.E.Doc的客户端时,被感染的软件包传送了Petya勒索软件(也被称为NotPetya或Petna)。
M.E.Doc证实并否认了更新问题
M.E.Doc软件厂商似乎在无意中证实,今天早上出现异常,并发布了安全公告:
(中文翻译:注意!我们的服务器经历了一场病毒攻击。抱歉给您带来不便)
几个小时之后,随着Petya勒索软件在乌克兰和全球其它多国大规模爆发,M.E.Doc在Facebook上否认其服务器服务于任何恶意软件。
安全研究人员MalwareHunter表示,这并非M.E.Doc首次通过恶意的软件更新传送勒索软件。
上个月,M.E.Doc公司服务器遭受攻击,攻击者疑似运行XData勒索软件,当时在乌克兰造成一场“浩劫”,而M.E.Doc公司也是否认,软件更新服务器与这起攻击有关联。
M.E.Doc公司目前并未就此次Petya勒索软件爆发予以置评。卡巴斯基公司表示,90%的受害者位于乌克兰和俄罗斯,这些地区正是M.E.Doc的主要覆盖区域。
据安全网站Bleeping Computer报道,卡巴斯基实验室的安全研究员科斯廷·拉尤表示,这款勒索软件使用了Petya的旧代码,但这款勒索软件却又完全不同,自成一派。
这就是为什么许多研究人员在社交媒体上将Petya称之为NotPetya。
然而,Malwarebytes研究人员哈奇瑞扎德(Hasherezade,研究Petya的专家)认为,NotPetya的作者创建了原始的Petya、Mischa和GoldenEye勒索软件。
感染程序的更多细节
思科与卡巴斯基的研究人员也披露了有关NotPetya执行的新细节。研究人员指出,这款勒索软件首次通过被感染的M.E.Doc的软件更新系统。
之后,NotPetya使用密码获取工具收集本地网络的凭证,之后将其传送至PsExec、WMIC这类工具。这些工具使用这些密码传播到同一网络上的新电脑。
此外,NotPetya还使用“影子经纪人”2017年4月泄露的2个NSA漏洞:“永恒之蓝”(ETERNALBLUE)和“永恒浪漫”(ETERNALROMANCE)。
NotPetya使用这2个漏洞利用通过LAN传播到其它电脑。与Wannacry不同的是,NotPetya只通过LAN传播,不通过互联网传播。
发现WannaCry Kill Switch功能的研究人员MalwareTech表示,NotPetya的危险性不及WannaCry。
MalwareTech表示,Petya攻击有所不同,它使用的漏洞利用只用来在本地网络传播,而非互联网。由于本地网络范围有限,扫描速度相对较快,一旦完成对本地网络的扫描,这款恶意软件会停止传播,因此感染力度不及WannaCry。据他推测,NotPetya已经停止散布,另外,WannaCry可被分散部署在少量计算机上,之后迅速传播开来,而Petya似乎在大量计算机上部署。因此,从这种情况来看,攻击爆发后超过1小时出现新感染的风险较低。这款恶意软件关闭计算机,并在执行后1小时对其加密,届时就已经完成了本地网络扫描。
Petya跟WannaCry一样,也通过电子邮件进行传播。
Petya通过伪装成工作应用程序的恶意电子邮件进行分发。该电子邮件附带了一个指向Dropbox文件夹的链接,该文件夹承载了一个恶意的.zip压缩文件,包含一个年轻人的照片(从股票图像网站窃取)和.pdf文件或自解压缩的档案,伪装成个人简历。
如果受害者打开文件,Windows会询问他们是否允许文件更改其计算机。受害者可以授权恶意软件的唯一方法是拥有计算机的管理权限,因此如果企业员工的工作电脑被IT部门阻止更改计算机权限的话,则勒索软件无法运行。
如果受害者授权勒索软件更改其计算机,则Petya立即导致计算机崩溃并显示蓝屏死亡。在启动蓝屏死机之前,恶意可执行文件会覆盖受害者磁盘的开头,并对其所有数据进行复制加密。
Petya在加密过程中使用AES-128和RSA-2048双加密模式,这是大多数顶级勒索软件家族采用的加密模式,这就是意味着推出解密器的可能性很小。
专家正在研究防止Petya感染的措施
幸运的是,Cybereason安全研究人员阿密特·谢珀尔发现一种方法,阻止Petya/NotPetya第一时间“扎根”。用户可以参考以下截图步骤关机,阻止Petya加密文件。
为了防止被Petya感染,建议用户在C:\Windows 文件夹下创建perfc文件,并设置为只读模式。
对于那些计算机体验很少的人,可以轻松的根据以下步骤尽可能做到防护。
首先,配置Windows以显示文件扩展名,只需确保隐藏已知文件类型的扩展名的文件夹选项设置未选中,如下所示。
一旦您启用了“始终启用扩展程序查看”功能,打开C:\ Windows文件夹。 文件夹打开后,向下滚动,直到看到notepad.exe程序。
左键单击notepad.exe程序,然后按Ctrl + C复制,再按Ctrl + V将其粘贴。 此时会弹出提示,要求您授予复制该文件的权限。
点击继续,文件将创建为记事本——Copy.exe。 左键单击此文件,然后按键盘上的F2键,之后将Copy.exe文件重命名perfcas,如下所示:
将文件名更改为perfc后,再按键盘上的Enter键,此时会弹出一个提示,询问您是否确定要将其重命名。
选择“是”, Windows将再次要求重新命名该文件夹中的文件的权限,点击继续。
现在,perfc文件已创建,我们需要使其成为只读,右键单击该文件,选择“属性”,如下所示:
该文件的属性菜单现在将打开。 底部将是一个标记为只读的复选框。 在其中放置一个复选标记,如下图所示:
现在点击应用按钮,然后点击确定按钮。 属性窗口应该关闭,您的计算机现在已可以免疫NotPetya / SortaPetya / Petya Ransomware。
想要一键解决,可以参考: http://t.cn/Rol5iyp
E安全推荐文章
官网:www.easyaq.com
2017年6月