新勒索病毒Petya来袭怎么办?Petya勒索病毒处理图文办法+补丁下载头条 - 凯发娱乐

新勒索病毒Petya来袭怎么办?Petya勒索病毒处理图文办法+补丁下载头条

2019-02-10 10:50:04 | 作者: 笑天 | 标签: 病毒,补丁,体系 | 浏览: 6050

布景:

在6月23号咱们向您通报了有关“5.12WannaCry”勒索病毒新变种暴虐的音讯之后(该次应急通报的具体内容请检查第7-10页),在昨日6月27日晚间时分(欧洲6月27日下午时分),新一轮的勒索病毒变种(本次名为Petya)又再一次突击并导致欧洲多国的多个安排、多家企业的体系呈现瘫痪。

新变异病毒(Petya)不只对文件进行加密,并且直接将整个硬盘加密、锁死,在呈现以下界面并瘫痪后,其一起自意向局域网内部的其它效劳器及终端进行传达:

本次新一轮变种勒索病毒(Petya)进犯的原理:

经普华永道网络安全与隐私维护咨询效劳团队的剖析,本次进犯的病毒被黑客进行了更新,除非防病毒软件现已进行了特征辨认并且用户端现已晋级至最新版病毒库,不然无法查杀该病毒,病毒在用户点击带病毒的附件之后即可感染本地电脑并对全盘文件进行加密,之后向局域网其它效劳器及终端进行自动传达。

以上所述的Petya病毒进犯及传达原理,与“5.12WannaCry”以及“6.23勒索软件新变种”病毒的进犯及传达原理共同,不同点在于:

1.感染并加密本地文件的病毒进行了更新,杀毒软件除非晋级至最新版病毒库,不然无法查杀及阻挠其加密本机文件体系;

2.“5.12WannaCry”及“6.23勒索软件新变种”在传达方面,别离运用了微软Windows体系的一个或许若干个体系缝隙,而Petya综合运用了“5.12WannaCry”及“6.23勒索病毒新变种”所运用的一切Windows体系缝隙,包括MS17-010(5.12WannaCry永久之蓝勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新变种)等补丁对应的多个体系缝隙进行传达。

3.本次新变异病毒(Petya)是直接将整个硬盘加密和锁死,用户重启后直接进入勒索界面,若不付出比特币将无法进入体系。

应对主张:

现在优先处理过程如下:

1、补丁修正(如已按咱们之前的通报,晋级一切补丁,则可略过此过程)

2、杀毒软件晋级及监控

3、进步用户信息安全意识度

1.补丁修正:

如前所述,本次Petya运用了“5.12WannaCry”及“6.23勒索软件新变种”的一切缝隙,因而,补丁方面有必要完结“5.12WannaCry”及“6.23勒索软件新变种”对应的一切补丁,包括:

(可联络咱们讨取以上缝隙及补丁原文件)

厂商无补丁或无法补丁的修正主张:

端口约束:运用体系自带的防火墙设置拜访规矩,即运用体系自带的防护墙,设置长途拜访端口137、139、445、3389的源IP:

3389端口设置:

Windows 2003:经过防火墙战略约束拜访源IP

Windows 2008:在组战略中封闭智能卡登录功用:

组战略(gpedit.msc)>办理模板>Windows组件>智能卡

2.杀毒软件晋级及监控

联络贵公司防病毒软件解决方案供货商,承认其最新病毒库现已能够查杀Petya病毒;晋级相应病毒库并推送至一切效劳器及主机。

3.进步用户信息安全意识度:

本次Petya病毒的感染源头依然是经过电子邮件向用户发送勒索病毒文件的方法(或许是用户自动下载带病毒的软件并翻开),所以进步用户信息安全意识度是要害的应对办法之一。

用户下载文件包中如发现包括有反常的附件,则有必要留意该附件的安全,在无法断定其安全性的前提下,提示用户不要翻开。

主张进一步加强对高管及用户的信息安全意识度宣贯,并且需求结合最新的信息安全趋势或许热点问题进行不同主题的宣贯,并且要锲而不舍。

WannaCry勒索病毒进犯者运用Windows体系默许敞开的445端口在企业内网内进行病毒传达与分散,并且更为严重的是,进犯者不需求用户进行任何操作即可自行进行病毒的感染与分散。感染后的设备上一切的文件都将会被加密,无法读取或许修正,也即造成了整个体系的瘫痪:

在5月13号,普华永道网络安全法及隐私维护咨询效劳团队向您做出了及时的通报,并供给了有关的应对主张,一起帮忙许多客户进行了应对操作(比如当即修补有关体系补丁,如MS17-010补丁等)。

在6月13日,微软发布了Windows体系的新缝隙通报(“CVE-2017-8543、CVE-2017-8464”),并且供给了有关的补丁。在昨日(6月22日),黑客运用微软Windows体系的上述新缝隙,开宣布新变种的勒索病毒,并在曩昔几天向互联网展开了开始进犯,因为感染及传达需求必定的时刻,因而,进犯作用集中于昨日呈现。到今天,首要受进犯及影响的目标集中于工厂、酒店、医院及零售职业。

本次新一轮变种勒索病毒进犯的原理:

本次进犯运用了微软Windows体系的两个新缝隙“CVE-2017-8543、CVE-2017-8464”,该病毒运用以下方法来进犯并加密被进犯目标体系中的文件:

1.运用Window Search(Windows Search的功用是为咱们电脑中的文件、电子邮件和其他内容供给内容索引、特色缓存和查找成果,默许的效劳状况是处于敞开的状况)缝隙来进步权限并长途履行加密指令,然后到达对全盘文件进行加密的成果;

2.自动创立Windows快捷方法LNK(.lnk),经过LNK来进步权限,并对文件进行加密。

在加密过程中,全程都没有任何弹框提示就直接加密文件或导致电脑蓝屏(这是与5.12勒索病毒软件不同的其间一个特色)。

应对主张:

现在优先处理过程如下:

1、补丁修正

2、添加邮件网关黑名单

3、杀毒软件晋级及监控

4、进步用户信息安全意识度

1.补丁修正:

现在微软已宣布补丁,下载地址如下:

https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

具体操作攻略:

先翻开https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms,会看到CVE-2017-8543、CVE-2017-8464,找到相应版别的补丁进行下载(现在XP、Window2003不受影响),并履行相应主机及个人电脑的补丁晋级。

2.添加邮件网关文件黑名单

在原有的黑名单上,添加如下后缀:

.lnk

.link

3.杀毒软件晋级及监控

3.1.病毒库晋级及推送至一切效劳器及主机;

3.2.杀毒软件控制台监控:

检查杀毒软件控制台检查报警信息,如是否有侵略事情,如针对SMB进犯(如SMB BoublePulsar ping、溢出进犯),对已感染的进行处理;

注:下面为某客户遭到进犯时的反常事情日志信息,仅供参考:

本次新勒索病毒变种,虽然是利了微软Windows体系的新体系缝隙,但其感染源头依然是经过电子邮件向用户发送勒索病毒文件的方法(或许是用户自动下载带病毒的软件并翻开),所以进步用户信息安全意识度是要害的应对办法之一。

用户下载文件包中如发现包括有反常的附件(本次是.lnk/.link的文件),则有必要留意该附件的安全,在无法断定其安全性的前提下,提示用户不要翻开。

主张进一步加强对高管及用户的信息安全意识度宣贯,并且需求结合最新的信息安全趋势或许热点问题进行不同主题的宣贯,并且要锲而不舍。

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章