:::

最新消息

:::

[資訊安全]Petya的變種勒索病毒出現

校園公告
張貼人:電算中心公告日期:2017-07-02
瀏覽人數:39
 各位校園使用者  您好:
轉知Petya的變種勒索病毒出現,相關內容如下
資訊來源:https://www.twcert.org.tw/twcert/newsdetail/3019
●TWCERT/CC提醒建議用戶採取以下方法來避免受勒索軟體影響 : 
1.定期備份並遵循3-2-1規則來備份檔案:建立三份副本,使用兩種不同媒體,一份副本要存放在不同的地方,此外至少有一個系統備份是處於實體隔離的網路環境。
2.刪除收到的可疑電子郵件,尤其是包含連結或附件的。
3.確保更新電腦上的防毒軟體。
4.保持更新作業系統及其他軟體,Petrwrap勒索軟體所利用之作業系統弱點與Office應用程式弱點,已分別於3月與4月釋出修復程式,請至微軟官方網頁進行更新:
(1)MS17-010:https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx 。另外已超過維護週期之作業系統,例如XP/Server 2003等,請參考連結(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)下載後進行更新。 (2)CVE-2017-0199:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 
5.部份微軟Office檔案會要求用戶啟動巨集以觀看其內容,對此類電子郵件附件務必提高警覺。 
6.一旦受到感染,馬上將受感染電腦從網路上及外置儲存裝置隔離。在清除惡意軟體前不要開啟任何檔案。
7.不要支付贖金。

●重點摘要:
 
1. Petya的變種勒索病毒開始肆虐全球,短時間內導致俄羅斯、烏克蘭、西班牙、法國、英國、印度及泰國等國的政府單位、軍事單位、發電廠、銀行、電信公司及企業電腦遭加密。
2. Petya勒索病毒使用跟WannaCry勒索病毒一樣的Windows SMBv1漏洞進行攻擊;同時它也透過電子郵件等方式散播,使用CVE-2017-0199的Office RTF漏洞進行攻擊,並散播到同網域的電腦中。
3. Petya並不會一個一個將電腦內檔案加密,它會重啟受害者電腦,將硬碟主文件表(Master File Table, MFT)加密,導致主開機紀錄(Master Boot Record, MBR)無法正常運作,亦導致無法存取系統內檔案的檔案名稱、大小及實體位置等資訊。
4. Petya以惡意程式碼取代電腦的MBR檔案,導致電腦開機後會顯示勒索訊息,而非正常開機程序,勒索訊息則指出需要繳交相等於300美元的比特幣才能解鎖。
5. 攻擊者的郵件信箱(wowsmith123456[at]posteo[dot]net)已被封鎖,因此就算付款也無法解鎖。
 
●防毒疫苗:
1. TWCERT/CC已實作驗證,方法是手動在C:\Windows目錄下建立一個叫perfc的執行檔(是空的檔案就可以,不用唯讀檔也可以,所以不用擔心有任何的惡意行為)。
2. 惡意程式執行時,會於 C:\Windows 資料夾中檢查是不是有跟自己一樣名稱的檔案存在,若存在則結束程式執行,不存在則建立與自己一樣檔名的檔案,因此建立此檔案可讓成是直接結束執行。
3. 研判此機制是為了避免於內網擴散時避免重複執行該程式。
 
電算中心
 
最後修改時間:2017-07-02 AM 12:26

回首頁