【漏洞预警】CNNVD关于Petya勒索病毒攻击事件的分析报告

发布时间:2017-06-28    阅读  (11)   

       北京时间2017年6月27日,一款名为“Petya”的勒索病毒在全球范围内爆发,造成极大影响。针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下:

一、 网络攻击事件背景

       此次爆发的“Petya”勒索病毒是2016年出现的“Petya”病毒的变种。该变种病毒感染目标主机后,会加密磁盘驱动器内的主文件表(MFT),并感染主引导记录(MBR),使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。

      “Petya”勒索病毒最初的传播与乌克兰M.E.Doc公司的一款税务会计软件MEDoc有关。病毒是通过该软件的升级程序开始感染目标主机。

       据了解,目前全球受“Petya”病毒影响较为严重的国家为乌克兰,其副总理Pavlo Rozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司(KyivEnergo)均为“Petya”病毒攻击事件的受害者。其他受到此次事件波及的国家包括俄罗斯(俄罗斯石油公司(Rosneft))、西班牙、法国、英国、丹麦、印度、美国(律师事务所DLA Piper)等国家。

二、 “Petya”勒索病毒的特点

       (一)加密方式

      “Petya”勒索病毒对受感染主机的加密方式不同于之前爆发的“WannaCry”勒索软件。“WannaCry”是对被感染主机的所有文件进行加密,而“Petya”是主要针对磁盘驱动器的主文件表(MFT)进行加密,并通过修改主引导记录(MBR)发布勒索信息。

       (二)传播方式

       不同于“WannaCry”仅通过扫描的方式植入传播,“Petya”通过升级程序、文件共享以及已知漏洞等多种手段相结合的方式进行植入传播。“Petya”首先利用MEDoc软件的升级程序,执行恶意命令,入侵目标主机,之后释放Downloader来获取病毒母体,然后通过盗取登录凭证、借助文件共享渠道以及微软MS17-010(“永恒之蓝”)漏洞等方式进行传播。

三、处置建议

       (一)升级补丁,修复漏洞:

       1. “永恒之蓝”相关漏洞补丁链接

        https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

       (二)更新配置,加强防范

       1.禁用WMI(Windows Management Instrumentation,Windows管理规范)服务;

       2.及时将空口令或弱口令更改为复杂的登录口令,并对口令进行定期修改和妥善保管;

       3.建议用户不要点击不可信的链接,不要查看来历不明的邮件。

       参考链接:

       https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

       本预警由CNNVD技术支撑单位——安天实验室提供支持。

       CNNVD将继续跟踪上述事件的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

       联系方式: cnnvd@itsec.gov.cn



漏洞信息快速查询