Petya勒索软件突袭 Check Point 发表分析简报及支招应对方法

勒索软件攻击一波未平,一波又起,正当全球企业对WannaCry犹有余悸之际,6月27日又爆发了一起新一轮的大规模勒索软件攻击,目前影响最严重的是乌克兰,包括乌克兰中央银行、政府机构和私人企业都受到攻击。

尽管这轮攻击所采用恶意软件尚未确定,但一些研究人员推测它是Petya的一种变体,此种勒索软件不是针对单个文件而是对整个硬盘驱动器进行加密。 Check Point以色列捷邦安全软件科技有限公司的分析显示,这次攻击也采用了Loki Bot来进行凭据盗窃。分析还发现此款勒索软件采用“横向移动”(Lateral Movement) 方式进行攻击,能充分利用服务器信息区块(SMB)的漏洞。

Check Point研究实验室发表的简报详情如下:

  • Loki-Bot恶意软件的感染链如下:RTF文件下载受感染的xls,其中包含恶意的js脚本,从而从另一个放置区域提取可执行文件,可执行文件是Loki Bot。
  • Petya勒索软件利用SMB漏洞进行“横向移动”攻击,这与WannaCry中使用的漏洞有点不同。我们会持续更新具体细节。
  • Loki Bot的感染载体如下:包含RTF文件的恶意电子邮件。 RTF利用CVE-2017-0199下载xlsx诱饵文件。 “xlsx”文件的二进制文件包含由RTF文件执行的js脚本。当它运行时,脚本下载Loki的exe文件并执行它。
  • 目前仍然没有确定Loki-Bot与勒索软件攻击有关。
  • Petya的“横向移动”利用服务器信息区块(SMB)协议和HTTP流量,受感染的机器通过发送ARP请求扫描内部网络。然后对此进行回应的机器将启动SMB通信,稍后添加HTTP通信。最终,这两台机器都被加密,通信停止。

Check Point正密切关注该勒索病毒的攻击,并会及时发表更新简报。以下是Check Point 关于抗拒勒索软件的方案建议:

  • 采用Check Point SandBlast, SandBlast Agent和Anti-Bot防御Petya勒索软件和Loki Bot的攻击
  • CheckPoint IPS可防御相关的SMB漏洞

Sandblast:https://www.checkpoint.com/products/sandblast-network-security/

Sandblast Agent:https://www.checkpoint.com/products/endpoint-sandblast-agent/

Anti-bot:https://www.checkpoint.com/products/anti-bot-software-blade/

IPS:https://www.checkpoint.com/products/ips-software-blade/

点击以下链接查看我们的深度分析:

http://freports.us.checkpoint.com/petyavar/

原文发布时间为:2017年6月30日

时间: 2024-10-21 08:39:49

Petya勒索软件突袭 Check Point 发表分析简报及支招应对方法的相关文章

Check Point支招防御Petya勒索软件攻击 避免下一次攻击

Check Point以色列捷邦安全软件科技有限公司的安全事故应对小组一直关注由Petya恶意软件变体引发的多起全球大型感染威胁.Petya在2016年首度肆虐,目前正在用户网络中横向移动策动攻击,它利用危险漏洞"EternalBlue"进行传播,这与在五月爆发的WannaCry攻击相同.它首先对乌克兰的金融机构发起攻击,之后迅速蔓延,特别是在欧洲.美洲和亚洲. Petya勒索软件像先前发生的WannaCry攻击一样迅速在企业网络中蔓延.然而,它有一点与WannaCry及其它勒索软件不

Petya勒索软件变种Nyetya全球爆发

本文讲的是 Petya勒索软件变种Nyetya全球爆发,自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息. 勒索软件Nyetya概述勒索软件Nyetya概述 基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播.与之

Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件

2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致多个国家的大型企业受到Petya勒索软件攻击的影响 图1. 企业受到攻击数量最多的国家(Top 20) 与WannaCry勒索病毒类似,Petya同样利用"永恒之蓝"漏洞进行传播.但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装"永恒之蓝"补丁,Petya依然能够在企业内部进行传播. 初始感染方式 赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了

Petya勒索软件作者公布了主密钥 Petya勒索软件解密工具就快出来了

Petya作者公布了原始版本 Petya勒索软件 的主密钥,受该软件感染的受害者可使用这个密钥免费恢复加密文件.别着急,看清楚,是Petya,不是 NotPetya . 不要将Petya同最近出现的NotPetya(也称为"ExPetr"或"永恒Petya"(EternalPetya))混淆,后者极具破坏力,上个月在全球肆虐,对乌克兰和欧洲部分国家的多个目标发动了大规模攻击. Petya勒索软件作者公布了主密钥 Petya勒索软件的三个变种在世界各地感染了大量系统.

Petya勒索软件变种Nyetya全球爆发,思科Talos率先响应

自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息. 原文链接:http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html 勒索软件Nyetya概述 基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永

WannaCry 勒索软件攻击再袭 韩国 LG 服务中心不幸中招

本文讲的是WannaCry 勒索软件攻击再袭 韩国 LG 服务中心不幸中招, 全球消费电子制造商LG公司近日已经确认,其系统在遭遇WannaCry 勒索软件攻击后,部分网络处于宕机状态. 此次的勒索软件是在韩国LG电子服务中心的自助服务机中发现的,安全专家在对病毒样本进行分析后发现,此次攻击活动期间所使用的恶意代码和此前在全球肆虐的WannaCry勒索病毒的恶意代码及其相似,但安全专家需要更多的时间调查和确认. 今年五月中旬,勒索病毒WannaCry一经出现便开始肆虐全球,影响到了全球150多个

勒索病毒高峰已过 安全厂商纷纷支招

一款名为"想哭"的勒索病毒还在全球肆虐,不过速度已经放缓.奇虎360.腾讯安全.猎豹等多家安全厂商纷纷在周一发布报告,提醒广大用户防范病毒变种.一些厂商还及时推出了免费的数据修复工具和简单易用的防范软件,方便用户将损失降低到最小.所以,小白用户们不必担心. 传播高峰期已经过去了 据中央网信办网络安全协调局负责人介绍,目前,该勒索软件还在传播,但传播速度已经明显放缓. 据介绍,5月12日起,一款勒索软件在全球较大范围内传播,感染了包括医院.教育.能源.通信.制造业以及政府部门等在内的多个

详细分析站点形象危机及应对方法

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 很多朋友恐怕都听说过搜索引擎危机,却对于站点形象危机不甚了解,或者说是站点形象危机我们很容易就能够发现,很容易处理,但是处理的方法对不对,却很多人并不是很了解,下面我们就来分析站点形象危机的症状及相关的应对方法! 先来说说形象危机的出现方式 一:站点的程序文件出错了,当站点程序文件出现无法读取样式文件的时候,此时站点的页面就会变得一团糟,甚至

从排名下降分析网站的原因与应对方法

对于大多数网站而言,当出现网站ALEXA排名下降的现象之后,需要提升网站ALEXA排名的问题,实际上也就是对处于稳定期的网站如何进行有效推广使之访问量重新进入新一轮增长的问题. 尽管ALEXAhttp://www.aliyun.com/zixun/aggregation/8612.html">网站排名系统存在很多不合理之处,但作为唯一可以为全球网站做流量排名的机构,ALEXA排名数据仍然被看作判断一个网站价值的参考指标之一,因此当网站的排名出现明显下降时,往往会让网站经营者感到很大压力,并