[fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”][fusion_text]發生什麼事?

繼2017年5月份的WannaCry勒索病毒攻擊後,在相隔一個月後有著相似攻擊手段及付款方式(支付300 比特幣),

且名為Petya的強化版勒索病毒出現了,除同樣使用 EternalBlue漏洞 攻擊外, 更利用合法工具(PSEXEC及WMIC)配合容易被猜測的弱密碼(何謂弱密碼請參考維基百科)感染,以產生大規模的受害者。感染後的加密範圍並非像WannaCry只針對某些特定檔案,而是將整顆磁碟進行加密。

註:Petya勒索病毒被發現於2016年,2017年6月的Petya勒索病毒為強化攻擊方式的變種版本。

 

如何感染?期間發生什麼事?

執行不明郵件的附檔或主/被動瀏覽惡意網站即是造成這個惡夢的開端,當Petya勒索病毒第一時間在電腦執行時,首先是改寫磁碟的主要啟動磁區(MBR,以便保證下次開機時首先被執行;再來與遠端惡意伺服器取得溝通,產生加密密鑰於本機磁碟內,最後建立因系統當機/崩潰,要求重新開機訊息的系統排程,該排程為每一小時執行。期間並利用EternalBlue漏洞及合法工具(PSEXEC 及 WMIC)配合弱密碼持續感染區網內其他電腦;當重啟訊息出現並重啟電腦後,顯示偽造磁碟掃描畫面(CHKDSK),並配合存在本磁碟的加密密鑰進行主要檔案表(MFT加密,以達到加密整個硬碟的目的。

 

F-Secure如何防範Petya的威脅?

F-Secure端點產品提供三層防護機制來防衛Petya的攻擊,防護機制如下:

  1. F-Secure含有軟體修補/更新功能,能夠通知管理者並透過自動修補/更新這些弱點,以防止使用EternalBlue漏洞入侵電腦。
  2. F-Secure使用DeepGuard防護功能,使用行為分析配合雲端機制即時攔阻零時差的攻擊。
  3. F-Secure的防火牆功能,預設值封鎖TCP 445(CIFS)及TCP 135(RPC)在內網中橫向的擴散。

 

企業防範Petya的實際作法?

  1. 確保企業端點安裝F-Secure企業版防護軟體,並開啟DeepGuard和即時防護功能。
  2. 使用F-Secure軟體修補/更新功能,達到漏洞能被即時被補修,或手動進行修補該漏洞(Windows SMB伺服器的安全性更新4013389,參閱:MS17-010資訊安全公告)。

註:若無法立即修補該漏洞,建議參照微軟知識庫2696547,停用SMBv1協定減少入侵機率。

  1. 使用防火牆功能,封鎖來自網際網路和不信任位址的TCP 445、TCP 135流量,F-Secure防火牆預設不啟用所有的TCP 445、TCP 135連線。

 

防範Petya的其他作法?

  1. 預先在X:\Windows目錄建立perfc的空檔案(無副檔名),並移除存取該檔案的所有權限。
  2. 使用系統管理員權限執行「reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psexec.exe” /v Debugger /t REG_SZ /d svchost.exe」,使用映像劫持(IFEO)阻止EXE執行。
  3. 使用網域或本機安全性原則的軟體限制、AppLocker功能,禁止PSEXEC及WMIC程序的執行。

 

附錄:

Petya偽造磁碟掃描畫面(CHKDSK):

KFA007-01

 

Petye感染聲明畫面:

KFA007-02

 

其他微軟修補/更新檔下位址:

適合作業系統 下載位址 適合作業系統 下載位址
1 Windows Server 2003 SP2 x64 KB4012598 11 Windows Vista SP2 x64 KB4012598
2 Windows Server 2003 SP2 x86 KB4012598 12 Windows Vista SP2 x86 KB4012598
3 Windows Server 2008 SP2 x64 KB4012598 13 Windows 7 SP1 x64 KB4012212
4 Windows Server 2008 SP2 x86 KB4012598 14 Windows 7 SP1 x86 KB4012212
5 Windows Server 2008 R2 SP1 x64 KB4012212 15 Windows 7 Embedded x86 KB4012212
6 Windows Server 2012 x64 KB4012214 16 Windows 7 Embedded x64 KB4012212
7 Windows Server 2012 R2 x64 KB4012213 17 Windows 8 x86 KB4012598
8 Windows XP SP2 x64 KB4012598 18 Windows 8 x64 KB4012598
9 Windows XP SP3 x86 KB4012598 19 Windows 8.1 x86 KB4012213
10 Windows XP Embedded SP3 x86 KB4012598 20 Windows 8.1 x64 KB4012213

 

F-Secure針對Petya的相關報導及本文參考資料:

Petya Ransomware FAQ: Known Knowns and UnknownsPetya Ransomware Outbreak Proves WannaCry was Only the BeginningPetya : Disk Encrypting Ransomware3 Things Companies can do to Beat PetyaPetya Ransomware Outbreak is WannaCry done by Pros[/fusion_text][fusion_text]

其他相關問題,歡迎聯繫 F-Secure 企業版專業代理商科益客服中心,將會儘快為您服務。
客服專線:(02)2585-8725;客服信箱:Service@techez.com.tw

[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]