瑞星:Petya勒索病毒全球爆發 目前已影響到中國

2022-01-03 闌夕

2017年6月28日,在「永恆之藍」勒索病毒陰霾還未完全消散時,一個名為「Petya(中文音譯彼佳)」的最新勒索病毒再度肆虐全球。目前,包括烏克蘭首都國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。目前影響的國家有UK、Ukraine、India、Netherlands、Spain、Denmark等。據瑞星反病毒監測網監測,目前在中國國內也出現用戶遭到攻擊的情況。

 

根據瑞星威脅情報數據平臺顯示,Petya勒索病毒目前在北京、上海、甘肅、江蘇等地均有少量感染,目前在全球範圍內已有40人支付贖金。

 

 

據瑞星安全專家通過對本次事件分析發現,Petya勒索病毒釆用(CVE-2017-0199)RTF漏洞進行釣魚攻擊,通過EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞橫向傳播,用戶一旦感染,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows作業系統之前接管電腦,執行加密等惡意操作。當加密完成後,病毒要求受害者支付價值300美元的比特幣之後,才會回復解密密鑰。

 

 

目前,瑞星所有企業級產品與個人級產品均可對該病毒進行攔截並查殺,希望廣大瑞星用戶將瑞星產品更新到最新版。

 

Virustotal網站掃描Petya勒索病毒 瑞星等殺毒軟體成功查殺截圖

 

瑞星防護建議:

 

1、更新作業系統補丁(MS)

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

2、更新 MicrosoftOffice/WordPad 遠程執行代碼漏洞(CVE-2017-0199)補丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

 

3、禁用 WMI 服務

https://zhidao.baidu.com/question/91063891.html

4、安裝殺毒軟體,並開啟主動防禦。

 

5、不要點擊陌生郵件的附件。

 

 

---病毒詳細分析---

 

一、背景介紹

 

新勒索病毒petya襲擊多國,通過EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞傳播。與WannaCry相比,該病毒會加密NTFS分區、覆蓋MBR、阻止機器正常啟動,使計算機無法使用,影響更加嚴重。

 

加密時會偽裝磁碟修復:

圖:加密時偽裝

 

加密後會顯示如下勒索界面:

圖:勒索信息

 

二、詳細分析

 

攻擊流程:

 

圖:攻擊流程

 

加密方式:

 

圖:加密磁碟

 

啟動後就會執行加密

圖:重啟機器

 

加密的文件類型

 

圖:加密文件類型

 

傳播方式:

 

病毒採用多種感染方式,主要通過郵件投毒的方式進行定向攻擊,利用EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞在內網橫向滲透。

 

圖:漏洞利用

 

圖:區域網傳播

 

勒索信息:

 

作者郵箱和比特幣錢包地址

 


圖:作者郵箱和錢包地址

 

加密後的勒索信

圖:勒索信

 

通過查看作者比特幣錢包交易記錄,發現已經有受害者向作者支付比特幣

 

圖:比特幣錢包

相關焦點

  • 「獅子」瑞星:對抗勒索病毒防禦才是解決之道
    根據瑞星不久前發布的《2018勒索病毒全面分析報告》捕獲數據,2018年1至10月中國勒索病毒樣本約有42.82萬個,勒索病毒感染次數約為344萬次。而Ransomware-as-a-server,即勒索服務化的出現(開發者提供整套勒索軟體解決方案,從勒索軟體的開發、傳播到贖金收取都提供完整的服務。攻擊者不需要任何知識,只要支付少量的租金就可以開展勒索軟體的非法勾當。),更是大大降低了勒索軟體的門檻,推動了勒索軟體大規模爆發。
  • 勒索病毒疑似已變種:從「想哭」變成「想妹妹」
    騰訊安全反病毒實驗室16日表示,經觀測發現部分勒索病毒樣本已經從「想哭WannaCry」變成了「想妹妹(WannaSister)」。  席捲全球的WannaCry勒索病毒,已經擴散至100多個國家和地區,包括醫院、教育機構、政府部門在內的多類機構遭到攻擊。勒索病毒結合蠕蟲的方式進行傳播,是此次攻擊事件大規模爆發的重要原因。
  • WannaCry爆發一周年,騰訊安全深度揭秘「勒索病毒黑色產業鏈」
    距離去年5月12日勒索病毒爆發一周年了。一年前,一個叫「WannaCry」的勒索病毒突然大規模爆發,席捲全球150多個國家,造成高達80億美元的經濟損失。一年後,這個大型勒索病毒事件帶來的負面影響仍然難以消除:其背後的「永恆之藍」漏洞利用頻頻復現;大型企事業單位屢次遭遇勒索病毒攻擊;勒索變種層出不窮,並開始從發達城市向偏遠地區擴散。
  • 全球英雄Marcus Hutchins!他是阻止勒索病毒蔓延的IT小哥
    目前小哥被老闆獎勵公費旅行,但也擔心身份公開後會受到黑客報復。英國小哥意外「拯救世界」 三天不眠阻止勒索病毒蔓延Wannary勒索病毒上周五起肆虐,被一位化名MalwareTech的英國電腦奇才暫時制止。
  • 騰訊反病毒實驗室馬勁松:抵禦下一個WannaCry勒索病毒亟須建應急...
    騰訊反病毒實驗室馬勁松:抵禦下一個WannaCry勒索病毒亟須建應急協同機制 WannaCry勒索病毒,是於 2017 年 5 月 12 日開始爆發,影響了 150 個國家,中國部分Windows
  • 「殺毒大王」瑞星的衰敗啟示錄
    1993年是王莘事業的第一個頂點,當時他開發的防病毒卡意外的風靡市場,日銷量近1000套,毛利潤達到20多萬元,這些數字對於剛剛起步的中國軟體業,是一個十足震撼的記錄。瑞星電腦科技公司更是在200多個競爭對手中脫穎而出,王莘也成了中國反病毒市場開啟者之一。隨後,因為生病,王莘隱退了三年,直到1998年的春天,王莘才再度「出山」。
  • 慘痛教訓:若相信微軟就不會被比特幣勒索病毒攻擊
    資訊               |           盟商          |          活動近日在全球範圍爆發了比特幣勒索病毒據了解,此次勒索病毒主要爆發在中英兩個國家,多數都是高校以及醫療機構等。截至目前,國內已經多所高校遭遇此病毒攻擊,國家網信辦已經發出緊急通知。今天,中石油突然宣布加油只能用現金加油,IC卡、微信以及支付寶支付都暫停使用,不知是否與此次病毒有關。根據反病毒軟體廠商Avast昨天發布的報告稱,至少7.5萬臺計算機被感染。
  • 勒索病毒新變種!手機可能被感染?連主持人金玲家的路由器都被病毒感染了!
    就是這樣一個「想哭」病毒影響著我們的生活過去幾天,一個名為「想哭(WannaCry)」的勒索病毒在全球肆虐,據《報導,矽谷網絡風險建模公司Cyence的首席技術官GeorgeNg稱,此次網絡攻擊造成的全球電腦死機直接成本總計約80億美元。
  • 【最新】勒索病毒肆虐全球!據說有些人與黑客討價還價、享受免費解鎖……
    勒索病毒大規模爆發全球範圍內有近百個國家遭到攻擊被攻擊者被要求支付比特幣解鎖……勒索病毒,其實從它的字面意思就可以看出其中的含義。這個病毒最初是美國國家安全局(NSA)找到微軟的一個漏洞,並利用其開發出的病毒,原本是用作軍事攻擊,但後被洩露出來流到黑客手中。
  • 網警發布最全勒索病毒預防方法!警惕以「解鎖為名」的騙局!
    據卡巴斯基統計,在過去的十幾個小時裡,全球共有74個國家的至少4.5萬電腦中招。而殺毒軟體Avast統計的數據更為驚人:病毒已感染全球至少5.7萬臺電腦,並仍在迅速蔓延中。  據報導,全球多地爆發一種軟體勒索病毒,只有繳納高額贖金(有的要比特幣),才能解密資料和數據。英國多家醫院被這種病毒入侵,病人資料威脅外洩。俄羅斯,義大利,整個歐洲,包括中國很多高校…紛紛中招。
  • 勒索病毒已攻陷300000臺電腦!索尼娛樂前CEO來教你防黑客
    【TechWeb報導】5月18日消息,據國外媒體報導,去年,眼尖的網友曾發現Facebook的CEO馬克·扎克伯格(Mark Zuckerberg)用膠帶封堵電腦攝像頭和麥克風來防止黑客的偷窺,而在勒索病毒
  • Sodinokibi勒索病毒最新變種,解密工具更新到2.0版本
    勒索病毒果然成為了2019年十大流行勒索病毒家族之一,而且在全球範圍內都非常流行,我曾一度懷疑這款勒索病毒的背後運營團夥就是GandCrab勒索病毒運營團夥裡的部分人員,也可能只是GandCrab的開發者和部分運營人員退休了,替而代之的是後面Sodinokibi開發者和運營人員圖片來源於網絡Sodinokibi勒索病毒的傳播渠道非常多,目前已經發現的一些傳播方式,如下所示
  • 年入7億的瑞星殺毒,​月銷10萬套,從曾經最牛逼到銷聲匿跡,死因在這裡.....
    男子說出了理由後,妻子哭到:那是瑞星的小獅子。當然,這是網絡段子手對瑞星的調侃。但是也可以從中看出,當時的瑞星也是盛極一時,走進千家萬戶。你要知道,那時候下載使用殺毒軟體是需要付費的。雖然暴露年齡,但是2010年的時候,小編最喜歡的就是調戲電腦右下角的那個小獅子。這個曾經中國殺毒軟體當之無愧的王者,在最鼎盛的時候,僅殺毒軟體一年就能收入7億。
  • 勒索病毒又來了?!應對勒索病毒的災備建設勢在必行
    圖源網絡近年來,全球受到勒索病毒攻擊的事件屢見不鮮,波及政府、醫療、教育、網際網路、金融、能源等諸多行業,多通過利用各類技術對用戶的設備、數據進行鎖定來敲詐勒索,實現暴力「盈利」。勒索病毒就像是遊走的有害細胞,形式多變且難以捉摸,而它的蔓延,往往會給企業及組織帶來嚴重的安全威脅。
  • 過去的病毒爆發期是如何影響全球金融市場?
    新冠狀病毒的爆發使全球金融市場動蕩不安,為了評估冠狀病毒的潛在影響,本文將比較標普500指數,主要商品和貨幣在以前的病毒爆發期的走勢。與SARS爆發時的2002-03年相比,中國與全球經濟的聯繫更加緊密,中國在世界GDP中所佔的比重越來越大(從5%增加到約20%)。
  • 【奇技淫巧】petya系列勒索木馬免疫腳本
    今天凌晨,據國外媒體在twitter爆料,一種名為「Petya」的新型勒索病毒席捲了歐洲
  • 360安全衛士獨家推出「解密大師」 一鍵破解80多種勒索病毒
    2017年勒索病毒活躍性劇增,上百個病毒家族花樣翻新,WannaCry、Petya的接連爆發讓全球電腦用戶遭遇慘重損失。
  • 瑞星:中國曾經最牛逼的網際網路公司,為何十幾年後還在為上新三板苦苦掙扎
    讓人唏噓的是,作為同行業後來者,奇虎360已穩坐國內殺毒軟體的頭把交椅,在紐交所走過一圈;金山軟體也登陸港交所,殺毒業務搖身變為獵豹移動,成為國際化表現最佳的中國網際網路公司。周鴻禕和傅盛更是作為中國網際網路的代表,頻頻出現在各種場合指點業界江山。而回到瑞星創始人王莘身上,沒有聚光燈,也沒有喝彩。
  • 新勒索病毒「壞兔子」爆發,全球迅速蔓延!這個按鈕千萬別點!
    新一輪勒索病毒來襲,多國已中招。病毒通過偽造的Adobe Flash Player更新假消息來傳播。
  • 中勒索病毒後砍價贖金!黑客感慨高估你們的收入了!
    一個名為「想哭」的勒索病毒12日襲擊了全球上百個國家和地區使用微軟視窗作業系統的電腦。該病毒和以往單純盜號盜資料的病毒完全不同,黑客直接黑了你電腦,然後把電腦中的文件全加密,然後明目張胆的開口要錢:給錢就恢復文件,不給錢就刪資料!