”业内很多安全厂商认为该勒索软件为Petya变体,并将其命名为“PetrWrap”,但也有安全厂商认为这是一款全新的勒索软件,比如卡巴斯基将该勒索软件命名为“ExPetr”。
攻击影响
一旦遭受攻击,该勒索软件会加密硬盘的MFT并修改MBR,然后在系统的定时任务中增加计算机重启任务。一段时间后,系统会自动重启。重启过程中,勒索软件会仿冒磁盘检查,并对磁盘进行加密操作。然后提示用户支付$300的比特币,否则无法正常使用系统。
攻击途径
经过华为未然实验室持续监测分析发现:勒索软件首先通过电子邮件感染内网用户,具体方法是通过钓鱼邮件发送含有CVE-2017-0199漏洞的RTF文档。当用户不小心打开该恶意文档后,用户电脑中便自动执行恶意代码,加载该勒索软件。
当该勒索软件登陆内部主机后,通过下面两种方法进行内网的横向传播:
- 通过破解系统的弱口令进行传播;
- 利用“永恒之蓝”漏洞(MS17-010)进行传播。
勒索软件传播示意图
华为教你四步应对法
1F不要打开可疑邮件
利用钓鱼邮件进行传播是勒索软件感染的一个常用方法,用户应加强安全意识,在任何时候,遇到来历不明的邮件,或携带不明附件和不明链接的邮件,请勿打开。
2F更改系统口令
为避免系统口令被破解,使用弱口令的用户应立即修改系统密码,设置高强度密码。
3F更新漏洞补丁
- 针CVE-2017-0199漏洞,请及时更新如下补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
- 针对“永恒之蓝”(MS17-010)漏洞,请及时更新如下补丁:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4F临时措施
- 关闭139,445端口,此前我们针对 WannaCry 已经提供过具体方法。
- 关闭WMI服务,步骤如下:
- 运行“services.msc”。
- 双击“Windows Management Instrumentation”。
- 停止相应服务。
有研究人员发现,该勒索软件也存在Kill Switch。该勒索软件在运行时,首先会搜索某个本地文件,如果该文件存在,则退出加密过程。用户只需要在c:\windows目录下创建明文 “perfc”的文件,并将其权限设置为“只读”即可。
- 已经有安全专家为户写好了脚本:
https://download.bleepingcomputer.com/bats/nopetyavac.bat
事后应对,不如防患于未然
基于传统的以防御为中心的安全防护体系已不能有效防御未知威胁,针对勒索软件仅仅依靠签名的更新也是不够的,因此需要建设以未知威胁检测为核心的安全防御体系。
华为安全精准检测未知威胁
华为FireHunter6000沙箱通过病毒扫描、信誉扫描、静态分析和虚拟执行等技术,以及独有的行为模式库技术,根据情况分析给出精确的检测报告,实现对未知恶意文件的检测。配合其他安全设备,能快速对高级恶意文件进行拦截,有效避免未户。
50+文件类型检测,全面识别未知恶意软件;
- 4重纵深检测,准确性达99.5%以上;
- 秒级联动响应,快速拦截未知恶意软件。
此次勒索软件借助两个重要漏洞进行传播:CVE-2017-0199和MS17-010,这两个漏洞均为已知漏洞,华为安全产品可以有效检测携带CVE-2017-0199利用代码的恶意文档和针对MS17-010漏洞利用的蠕虫感染流量。
通过还原邮件流量并将提取出的邮件附件送检,华为FireHunter6000沙箱可以有效捕获邮件附件中的恶意RTF文档,并识别其中如Petya勒索软件及可疑的网络通讯活动:
华为用户如何获取防护能力?
华为入侵防御相关产品亦可检测针对CVE-2017-0199和MS17-010漏洞的攻击,请用户升级IPS特征库来获得防护能力:
标题
内容
备注
IPS签名库版本
20170628xx
xx是根据不同型号的编码,日期比这个库新的版本都可以防护此漏洞。
IPS签名ID
372910 372912 372913
Microsoft Office OLE2Link 远程代码执行漏洞。
支持的设备类型
USG6000/9500系列,Eudemon8000E系列,NIP6000以上系列产品
具体情况,请参考IPS签名库下载网址。
IPS签名库的下载地址
http://sec.huawei.com/
-
升级方法
联网设备可以自动升级,若需手动升级,请从上述地址下载离线升级包。
此外,我们仍然建议用户按照上一章的建议升级系统补丁,以修复漏洞,从根本上消除被攻击的可能。
