设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 2155|回复: 1

新勒索病毒Petya已席卷全球,装机员教你企业和个人如何防御

[复制链接]

签到天数: 30 天

[LV.5]常住居民I

发表于 2017/6/29 09:26 | 显示全部楼层 |阅读模式 |Google Chrome 45.0.2454.101|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
装机员为您提供新勒索病毒Petya已席卷全球,装机员教你企业和个人如何防御的文章咨询供您阅读,如何使用新勒索病毒Petya已席卷全球,装机员教你企业和个人如何防御的方法对您有帮助也请您举手之劳分享给您身份的人。


据外电报道,在勒索病毒WannaCry今年5月刚刚席卷150多个国家后,代号为Petya的勒索病毒又开始肆虐,袭击了美国和荷兰的码头运营商,破坏了乌克兰的政府系统,并让俄罗斯石油公司(Rosneft)、全球最大传播集团WPP等公司的运营陷入瘫痪。

根据周二早些时候的报道,俄罗斯和乌克兰两国约有80多家公司被Petya病毒感染。该病毒锁住大量的电脑,要求用户支付300美元的加密数字货币才能解锁。莫斯科的网络安全公司Group-IB透露,许多电信运营商和零售商也遭到了Petya的攻击,该病毒传播方式与WannaCry病毒非常相似。卡巴斯基实验室的分析师预计,迄今为止已有约2000位用户受到攻击,俄罗斯和乌克兰是攻击的重灾区。

欧洲刑警组织官员罗布-韦恩怀特(Rob Wainwright)指出,该机构已针对新一轮病毒攻击做出“紧急反应”。欧洲刑警组织在声明中表示,其正在同会员国及主要工业合作伙伴进行对话,寻求建立预防机制来预防Petya勒索病毒。

俄罗斯最大的原油生产商俄罗斯石油公司在声明中称,该公司由于顺利转换到“管理生产流程的备份系统”,避免了此次黑客攻击所带来的“严重后果”。

消息人士透露,英国媒体公司WPP的网站在周二遭到攻击,该公司员工已被告知关闭电脑,且不得使用无线连接。另有消息人士称,位于伦敦Sea Containers地区的办公楼都已关闭,该区域为WPP、奥美国际(Ogilvy & Mather)等全球知名广告代理机构的总部所在地。“WPP旗下若干家子公司的IT系统受到了影响,”WPP在电子邮件声明中称。

全球攻击

Petya勒索病毒的攻击范围已从俄罗斯和乌克兰,迅速遍及到全球,影响到全球最大航运企业马士基集团(A.P.Moller-Maersk)等在内的一批企业。马士基集团在声明中表示,该公司的客户目前已无法使用在线预订工具,且公司的内部系统也已关闭。马士基集团发言人表示,此次网络攻击影响到公司的多个网站和部门,包括港口运营、石油和天然气生产等部门。

法国建筑材料巨头Cie de Saint-Gobain周二表示,该公司的系统同样受到攻击,但其发言人并未对此透露详情。根据《巴黎人报》(Le Parisien)的报道,法国国有铁路系统SNCF同样也受到了攻击。食品企业亿滋国际(Mondelez International)则表示,该公司经历了一次全球性的IT中断,并正在调查原因。总部位于美国新泽西州的默克公司表示,攻击已致使公司的计算机网络遭到破坏。

WannaCry警告

WannaCry勒索病毒于上月在全球爆发,影响了超过150个国家的数十万台计算机。黑客要求受害者支付300美元比特币的赎金。WannaCry使用了Windows系统的漏洞。有消息显示,该漏洞由美国国家安全局(NSA)发现,并将其当作了信息战武器。美国通信运营商Verizon通讯指出,勒索病毒攻击在近年来开始肆虐,2016年此类攻击的数量增长了50%。

赛门铁克的分析师指出,Petya病毒通过永恒之蓝(EternalBlue)漏洞传播,也就是美国国家安全局泄漏的文件中一个漏洞的代码名称。此前WannaCry传播方式利用了“永恒之蓝”漏洞,此次Petya勒索病毒也借助此漏洞达到了快速传播的目的。

此次攻击对乌克兰的影响最大。该国内政部部长顾问安东-格拉斯申科(Anton Gerashchenko)在Facebook上声称,此次病毒入侵堪称“乌克兰史上最大规模的病毒攻击”。他还称,黑客此次攻击目的就是“要扰乱乌克兰的经济形势和公民意识,尽管此攻击伪 装成敲诈阴谋”。

乌克兰国家电力供应商Kyivenergo在攻击后已关闭了所有电脑,另外一家能源公司Ukrenergo同样也受到影响,只不过影响“不是特别严重”。乌克兰央行周二在网站中警告称,数家乌克兰银行已成为黑客的攻击对象。

与Wannacry勒索病毒技术同源(基于NSA的永恒之蓝代码)的Petya勒索病毒变种本周二在全球爆发,英国(WPP)、乌克兰、波兰、意大利、丹麦(Maersk)、俄罗斯(Rosnoft)美国(Merck)多家大型企业报告遭受病毒袭击,其中重灾区乌克兰的政府、国有银行、交通、能源等关键基础设施和部门遭受袭击,甚至乌克兰总理的电脑都遭受攻击。




Petya感染国家分布:乌克兰和俄罗斯是重灾区 数据来源:卡巴斯基

根据最早发现并分析Petya病毒的卡巴斯基和Avast等安全公司的判断,Petya勒索病毒在初始阶段的规模和速度都超过了此前震惊全球的Wannacry勒索病毒,但是两者的运作方式和传播机制有很大区别。

Petya勒索病毒也会扫描内网并通过SMB协议漏洞传播,但与Wannacry不同,根据比利时网络应急团队CERT.be的报告,Petya还利用了FireEye公司四月份公布的另外一个Windows漏洞,攻击者可以利用钓鱼邮件发送的恶意文件在受害者电脑上运行命令。这也使得Petya勒索病毒能够感染此前已经修补永恒之蓝漏洞布丁的计算机。




一旦得手,Petya病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,以磁盘检查的名义对负责文件寻址的MFT主文件分区表执行加密操作(并非加密文件本身),加密完成后提示用户支付价值300美元的比特币,界面如上图所示(编者按:又一次比特币暴跌后的救市行动?)

特别需要注意的是,在传播方式上,Petya的快速蔓延主要借助的是企业信息安全最薄弱的环节:电子邮件。

由于电子邮件攻击属于“半自动”传播,因此防范Petya勒索病毒的工作重点就落在了钓鱼邮件攻击的防御(以及修补“另外一个Windows漏洞”)上,以下小编将简单有效的防御措施总结如下:

1.限制管理员权限。Petya勒索病毒的运行需要管理员权限,企业网管可以通过严格审查限制管理员权限的方式减少攻击面,个人用户可以考虑使用非管理员权限的普通账号登陆进行日常操作。

2.关闭系统崩溃重启。Petya勒索病毒的“发病”需要系统重启,因此想办法避免系统重启也能有效防御Petya并争取漏洞修补或者文件抢救时间。大多数Windows系统都被设置为崩溃自动重启,用户可以在系统中手关闭此设置。只要系统不重新启动引导,病毒就没有机会加密MFT主文件分区表,用户就有机会备份磁盘中的文件(微软官方教程)。

3.立刻安装微软针对SMB漏洞的MS17-010布丁。与防范Wannacry病毒一样禁用SMBv1.

4.立刻警告并培训终端用户加强对钓鱼邮件附件的防范。不要点击未知链接和附件。这一条也许是最重要的。

5.立即更新杀毒软件。目前主流杀毒软件都已经发布了针对Petya的病毒样本更新。

6.备份重要数据。重要文件进行本地磁盘冷存储备份,以及云存储备份。

7.Petya勒索病毒只影响没有最新更新的旧版Windows PC系统上,如果你正在运行最新的Windows7 SP1或者Windows 8.1、Windows10系统,并升级到最新更新,你不必担心Petya勒索网络攻击。


以上就是装机员给大家介绍的如何使用新勒索病毒Petya已席卷全球,装机员教你企业和个人如何防御的方法了,如何使用新勒索病毒Petya已席卷全球,装机员教你企业和个人如何防御的方法到这里也全部结束了相信大家对如何使用新勒索病毒Petya已席卷全球,装机员教你企业和个人如何防御的方法都有一定的了解了吧,好了,如果大家还想了解更多的资讯,那就赶紧点击装机员系统官网吧。

本文来自装机员www.zhuangjiyuan.com如需转载请注明!
[发帖际遇]: yyy138 发帖时在路边捡到 3 樱币,偷偷放进了口袋. 幸运榜 / 衰神榜
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

 成长值: 1345

签到天数: 1728 天

[LV.Master]伴坛终老

发表于 2017/6/30 06:42 | 显示全部楼层 |Google Chrome 58.0.3029.110|Windows 10
日常打补丁应该没事
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2024/11/23 06:29 , Processed in 0.101170 second(s), 22 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表