勒索病毒Petya來襲怎么辦

　　電腦病毒看不見，卻無處不在，有時(shí)防護(hù)措施不夠或者不當(dāng)操作都會(huì)導(dǎo)致病毒入侵，對(duì)于之前爆發(fā)的一個(gè)勒索病毒，下面就詳情來看看最新Petya勒索病毒的應(yīng)對(duì)處理方法，希望對(duì)大家有幫助

　　背景：

　　在6月23號(hào)我們向您通報(bào)了有關(guān)“5.12WannaCry”勒索病毒新變種肆虐的消息之后(該次應(yīng)急通報(bào)的具體內(nèi)容請(qǐng)查看第7-10頁)，在昨天6月27日晚間時(shí)候(歐洲6月27日下午時(shí)分)，新一輪的勒索病毒變種(本次名為Petya)又再一次襲擊并導(dǎo)致歐洲多國的多個(gè)組織、多家企業(yè)的系統(tǒng)出現(xiàn)癱瘓。

　　新變異病毒(Petya)不僅對(duì)文件進(jìn)行加密，而且直接將整個(gè)硬盤加密、鎖死，在出現(xiàn)以下界面并癱瘓后，其同時(shí)自動(dòng)向局域網(wǎng)內(nèi)部的其它服務(wù)器及終端進(jìn)行傳播：

　　本次新一輪變種勒索病毒(Petya)攻擊的原理：

　　經(jīng)普華永道網(wǎng)絡(luò)安全與隱私保護(hù)咨詢服務(wù)團(tuán)隊(duì)的分析，本次攻擊的病毒被黑客進(jìn)行了更新，除非防病毒軟件已經(jīng)進(jìn)行了特征識(shí)別并且用戶端已經(jīng)升級(jí)至最新版病毒庫，否則無法查殺該病毒，病毒在用戶點(diǎn)擊帶病毒的附件之后即可感染本地電腦并對(duì)全盤文件進(jìn)行加密，之后向局域網(wǎng)其它服務(wù)器及終端進(jìn)行自動(dòng)傳播。

　　以上所述的Petya病毒攻擊及傳播原理，與“5.12WannaCry”以及“6.23勒索軟件新變種”病毒的攻擊及傳播原理一致，不同點(diǎn)在于：

　　1.感染并加密本地文件的病毒進(jìn)行了更新，殺毒軟件除非升級(jí)至最新版病毒庫，否則無法查殺及阻止其加密本機(jī)文件系統(tǒng);

　　2.“5.12WannaCry”及“6.23勒索軟件新變種”在傳播方面，分別利用了微軟Windows系統(tǒng)的一個(gè)或者若干個(gè)系統(tǒng)漏洞，而Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統(tǒng)漏洞，包括MS17-010(5.12WannaCry永恒之藍(lán)勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補(bǔ)丁對(duì)應(yīng)的多個(gè)系統(tǒng)漏洞進(jìn)行傳播。

　　3.本次新變異病毒(Petya)是直接將整個(gè)硬盤加密和鎖死，用戶重啟后直接進(jìn)入勒索界面，若不支付比特幣將無法進(jìn)入系統(tǒng)。

　　應(yīng)對(duì)建議：

　　目前優(yōu)先處理步驟如下：

　　1、補(bǔ)丁修復(fù)(如已按我們之前的通報(bào)，升級(jí)所有補(bǔ)丁，則可略過此步驟)

　　2、殺毒軟件升級(jí)及監(jiān)控

　　3、提升用戶信息安全意識(shí)度

　　1.補(bǔ)丁修復(fù)：

　　如前所述，本次Petya利用了“5.12WannaCry”及“6.23勒索軟件新變種”的所有漏洞，因此，補(bǔ)丁方面必須完成“5.12WannaCry”及“6.23勒索軟件新變種”對(duì)應(yīng)的所有補(bǔ)丁，包括：

　　(可聯(lián)系我們索取以上漏洞及補(bǔ)丁原文件)

　　廠商無補(bǔ)丁或無法補(bǔ)丁的修復(fù)建議：

　　端口限制：使用系統(tǒng)自帶的防火墻設(shè)置訪問規(guī)則，即使用系統(tǒng)自帶的防護(hù)墻，設(shè)置遠(yuǎn)程訪問端口137、139、445、3389的源IP：

　　3389端口設(shè)置：

　　Windows 2003：通過防火墻策略限制訪問源IP

　　Windows 2008：在組策略中關(guān)閉智能卡登錄功能:

　　組策略(gpedit.msc)-->管理模板-->Windows組件-->智能卡

　　2.殺毒軟件升級(jí)及監(jiān)控

　　聯(lián)系貴公司防病毒軟件解決方案供應(yīng)商，確認(rèn)其最新病毒庫已經(jīng)可以查殺Petya病毒;升級(jí)相應(yīng)病毒庫并推送至所有服務(wù)器及主機(jī)。

　　3.提升用戶信息安全意識(shí)度：

　　本次Petya病毒的感染源頭依然是通過電子郵件向用戶發(fā)送勒索病毒文件的形式(或者是用戶主動(dòng)下載帶病毒的軟件并打開)，所以提升用戶信息安全意識(shí)度是關(guān)鍵的應(yīng)對(duì)措施之一。

　　用戶下載文件包中如發(fā)現(xiàn)包含有異常的附件，則必須注意該附件的安全，在無法確定其安全性的前提下，提醒用戶不要打開。

　　建議進(jìn)一步加強(qiáng)對(duì)高管及用戶的信息安全意識(shí)度宣貫，并且需要結(jié)合最新的信息安全趨勢(shì)或者熱點(diǎn)問題進(jìn)行不同主題的宣貫，而且要持之以恒。

　　WannaCry勒索病毒攻擊者利用Windows系統(tǒng)默認(rèn)開放的445端口在企業(yè)內(nèi)網(wǎng)內(nèi)進(jìn)行病毒傳播與擴(kuò)散，并且更為嚴(yán)重的是，攻擊者不需要用戶進(jìn)行任何操作即可自行進(jìn)行病毒的感染與擴(kuò)散。感染后的設(shè)備上所有的文件都將會(huì)被加密，無法讀取或者修改，也即造成了整個(gè)系統(tǒng)的癱瘓：

　　在5月13號(hào)，普華永道網(wǎng)絡(luò)安全法及隱私保護(hù)咨詢服務(wù)團(tuán)隊(duì)向您做出了及時(shí)的通報(bào)，并提供了有關(guān)的應(yīng)對(duì)建議，同時(shí)協(xié)助許多客戶進(jìn)行了應(yīng)對(duì)操作(譬如立即修補(bǔ)有關(guān)系統(tǒng)補(bǔ)丁，如MS17-010補(bǔ)丁等)。

　　在6月13日，微軟發(fā)布了Windows系統(tǒng)的新漏洞通報(bào)(“CVE-2017-8543、CVE-2017-8464”)，并且提供了有關(guān)的補(bǔ)丁。在昨天(6月22日)，黑客利用微軟Windows系統(tǒng)的上述新漏洞，開發(fā)出新變種的勒索病毒，并在過去幾天向互聯(lián)網(wǎng)展開了初步攻擊，由于感染及傳播需要一定的時(shí)間，因此，攻擊效果集中于昨天出現(xiàn)。截至今日，主要受攻擊及影響的對(duì)象集中于工廠、酒店、醫(yī)院及零售行業(yè)。

　　相關(guān)閱讀：2018網(wǎng)絡(luò)安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的設(shè)備包括手機(jī)、電腦、服務(wù)器以及云計(jì)算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲(chǔ)于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達(dá)1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀(jì)錄，美國一家服務(wù)提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達(dá)到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進(jìn)行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國有2.5萬 Memcached 服務(wù)器暴露在網(wǎng)上 。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網(wǎng)站 GitHub(軟件項(xiàng)目托管平臺(tái))上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當(dāng)于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計(jì)的 iOS 設(shè)備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴(yán)重的一次泄漏事件。

　　四、韓國平昌冬季奧運(yùn)會(huì)遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運(yùn)會(huì)開幕式當(dāng)天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運(yùn)會(huì)官網(wǎng)均無法正常運(yùn)作，許多觀眾無法打印開幕式門票，最終未能正常入場。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺(tái)接入歐洲廢水處理設(shè)施運(yùn)營技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI 服務(wù)器 CPU，致歐洲廢水處理服務(wù)器癱瘓 。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商的運(yùn)營技術(shù)網(wǎng)絡(luò)展開攻擊。由于受感染的服務(wù)器為人機(jī)交互(簡稱HMI)設(shè)備，之所以導(dǎo)致廢水處理系統(tǒng)癱瘓，是因?yàn)檫@種惡意軟件會(huì)嚴(yán)重降低 HMI 的運(yùn)行速度。

勒索病毒Petya來襲怎么辦相關(guān)文章：

1.Petya勒索病毒怎么查殺

2.勒索蠕蟲病毒變種2.0預(yù)防解決方法

3.Petya勒索病毒怎么預(yù)防

4.比特幣勒索病毒補(bǔ)丁地址

5.比特幣病毒是什么有哪些危害