2017年7月6日 YINGSOO報(bào)道，據(jù)外媒報(bào)道，一名高級(jí)警官稱(chēng)，烏克蘭警方周二沒(méi)收了該國(guó)一家會(huì)計(jì)軟件公司的服務(wù)器，因?yàn)樵摴旧嫦觽鞑?dǎo)致全球很多大公司電腦系統(tǒng)癱瘓的勒索病毒。

　　烏克蘭網(wǎng)絡(luò)警察局長(zhǎng)沙希利-德梅德尤克(Serhiy Demedyuk)稱(chēng)，為了調(diào)查上周發(fā)生的肆虐全球的勒索病毒攻擊案，警方?jīng)]收了烏克蘭最流行會(huì)計(jì)軟件開(kāi)發(fā)公司M.E.Doc的服務(wù)器。

　　警方還在調(diào)查誰(shuí)是真正的幕后黑手。烏克蘭情報(bào)官員和安全公司聲稱(chēng)，最初的一些勒索病毒是通過(guò)M.E.Doc公司發(fā)布的惡意升級(jí)程序傳播的。對(duì)此，該公司予以了否認(rèn)。

　　在警方?jīng)]收M.E.Doc公司的服務(wù)器前，網(wǎng)絡(luò)安全調(diào)查員已在周二找出了新的證據(jù)，證明此次勒索病毒攻擊活動(dòng)是一些高級(jí)黑客提前好幾個(gè)月策劃的結(jié)果。這些黑客將病毒插入到了M.E.Doc公司的會(huì)計(jì)軟件中。

　　烏克蘭在周二將其納稅日期推遲了一個(gè)月，以幫助被勒索病毒攻擊的企業(yè)渡過(guò)難關(guān)。

　　安全機(jī)構(gòu)詳解新勒索病毒攻擊模式

　　經(jīng)過(guò)分析，反病毒實(shí)驗(yàn)室表示，該病毒樣本與之前收到廣泛關(guān)注的Wannacry病毒相似，同樣利用了MS17-010(永恒之藍(lán))漏洞進(jìn)行傳播。Petya勒索變種成功執(zhí)行后，首先會(huì)嘗試?yán)寐┒磳⒆陨韽?fù)制在遠(yuǎn)程計(jì)算機(jī)下的C:\Windows目錄中。但由于先前Wannacry的傳播使廠商及用戶(hù)進(jìn)行了防范升級(jí)，該變種在傳播途徑上采取了郵件、下載器和蠕蟲(chóng)等多種組合傳播方式以加快傳播，其中使用了WMIC、PsExec等管理工具。

　　其中WMIC擴(kuò)展WMI(Windows Management Instrumentation，Windows管理工具)，提供了從命令行接口和批命令腳本執(zhí)行系統(tǒng)管理的支持。PsExec 是一個(gè)輕型的 telnet 替代工具，它使您可執(zhí)行其他系統(tǒng)上的進(jìn)程，并且可以獲得與控制臺(tái)應(yīng)用程序相當(dāng)?shù)耐耆换バ?。WMIC和PsExec廣泛被系統(tǒng)管理員，IT運(yùn)維人員使用。

　　勒索樣本通過(guò)釋放一個(gè)臨時(shí)文件 *.tmp，該臨時(shí)文件為windows賬戶(hù)信息(用戶(hù)名，密碼)竊取工具，該黑客工具能獲取到中毒計(jì)算機(jī)存儲(chǔ)的登錄其他系統(tǒng)和服務(wù)的用戶(hù)名、密碼，并將其傳送給母體。

　　勒索樣本利用獲取到登錄其他系統(tǒng)的用戶(hù)名密碼，枚舉網(wǎng)絡(luò)上的計(jì)算機(jī)，復(fù)制自身到網(wǎng)絡(luò)計(jì)算機(jī)上，并嘗試使用WMIC命令，在遠(yuǎn)程機(jī)器啟動(dòng)惡意DLL。同時(shí)勒索樣本也會(huì)嘗試使用本身釋放的PsExec.exe控制網(wǎng)絡(luò)中其他計(jì)算機(jī)，以達(dá)到傳播自身的目的。

　　其中，無(wú)論是WMIC方式還是PsExec方式，如果獲取到的用戶(hù)信息不屬于Administrator，該病毒都不可以實(shí)現(xiàn)傳播。

　　綜上分析，一旦擁有管理權(quán)限的域控制服務(wù)器被最新Petya變種攻陷，域控制服務(wù)器管理的計(jì)算機(jī)都會(huì)面臨被感染的風(fēng)險(xiǎn)。

　　權(quán)威機(jī)構(gòu)建議機(jī)構(gòu)和個(gè)人分別這樣防范

　　騰訊反病毒實(shí)驗(yàn)室給企業(yè)系統(tǒng)管理員提出建議：

　　一是，除非真正需要，不要隨意給用戶(hù)開(kāi)設(shè)管理員權(quán)限。二是，加強(qiáng)對(duì)域控制服務(wù)器的安全防護(hù)，更新補(bǔ)丁。三是，加固策略，禁止域控管理員帳號(hào)登錄終端。四是，禁止使用域控管理員等高權(quán)限帳號(hào)運(yùn)行業(yè)務(wù)服務(wù)，避免域控帳號(hào)泄露。五是，終端網(wǎng)絡(luò)屏蔽非必要來(lái)源的入站445和135端口請(qǐng)求。

　　而對(duì)于廣大電腦用戶(hù)，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心昨日提出防護(hù)策略五點(diǎn)建議：

　　一是，不要輕易點(diǎn)擊不明附件，尤其是rtf、doc等格式文件。二是，內(nèi)網(wǎng)中存在使用相同賬號(hào)、密碼情況的機(jī)器請(qǐng)盡快修改密碼，未開(kāi)機(jī)的電腦請(qǐng)確認(rèn)口令修改完畢、補(bǔ)丁安裝完成后再進(jìn)行開(kāi)機(jī)操作。三是，更新操作系統(tǒng)補(bǔ)丁(MS)。四是，更新Microsoft Office/WordPad遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2017-0199)補(bǔ)丁。五是，禁用WMI服務(wù)。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。