腾讯管家 勒索病毒,
6月28日消息WannaCry病毒刚刚平息。现在,一款名为Petya的新型勒索软件已经遍布全球。据了解,乌克兰的国家银行、电力公司、机场、地铁服务和多个组织正在遭受Petya的攻击,银行系统等多处国家设施被感染,导致运行异常。
根据腾讯电脑管家的报告,中国区最早的攻击发生在2017年6月27日上午,通过邮件附件传播。据乌克兰官方CERT消息,邮件附件被确认为病毒攻击源。
(乌克兰官方CERT新闻证实邮件附件是此次病毒攻击的源头)
据了解,这是一种类似于“WannaCry”的勒索病毒新变种,传播方式与“WannaCry”类似。它使用永恒之蓝(EternalBlue)和OFFICE OLE机制漏洞(CVE-2017-0199)进行传输,并且它还有局域网传输方法。
据腾讯安全反病毒实验室研究,该病毒样本运行后,会枚举内网中的计算机,尝试使用SMB协议在135、139、445端口进行连接。同时,病毒会修改系统的MBR引导扇区。当电脑重启后,病毒代码会先于Windows操作系统接管电脑,进行加密等恶意操作。
电脑重启后会显示一个伪装的界面,假装正在进行磁盘扫描,实际上是对磁盘数据进行加密。加密完成后,病毒露出真面目,要求受害者支付赎金。
对于已经被Petya勒索软件中招的用户,腾讯电脑管家提醒,可以通过WinPE进入系统,有很大几率恢复部分文件。腾讯管家用户还可以下载“勒索病毒离线免疫工具”进行防御等。
第二,断网备份重要文件。如果电脑插电,先拔下网线;如果您的电脑通过路由器连接到wifi,请先关闭路由器。然后将重要文档从您的计算机复制或移动到安全硬盘或USB闪存驱动器。
此外,对于管理员用户,腾讯电脑管家建议如下:
是的,禁止访问接入层交换机PC网段之间的端口135、139和445(单击查看)。
第二,要求所有员工按照上述内容修复漏洞。
第三,使用“管理员助手”确认员工电脑漏洞是否修复。
此外,腾讯安全云丁实验室分析发现,该病毒采用多种感染方式,其中邮件投毒方式具有针对性攻击的特点。目标中毒后会横向渗透到内网,通过下载更多的载体来检测内网。
网络管理员可以通过以下方式监控相关域名/IP、拦截病毒下载并统计内部网感染的分布情况:
84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
咖啡办公室。坐标
french-cooking.com
网络管理员可以通过以下密钥哈希来检查内部网感染:
415 Fe 69 BF 32634 ca 98 fa 07633 f 4118 e 1
0487382 a4 daf 8 EB 9660 f1 c 67 e 30 F8 b 25
a1d 5895 f 85751 dfe 67d 19 cccb 51 b 051 a
71b 6a 493388 e 7 d0b 40 c 83 ce 903 BC 6b 04
相关阅读:
防范/遏制勒索软件Petya攻击指南
微软发文称:Win10不是勒索软件的目标(Win10可以抵御勒索软件)
推荐:不激活Win10系统下载Win10镜像。
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。