搜索
查看: 4057|回复: 24
收起左侧

[交流探讨] 新一波 NotPetya / ExPetr/新Petya 勒索软件凶猛席卷全球

[复制链接]
dongwenqi
发表于 2017-7-8 10:51:10 | 显示全部楼层 |阅读模式
本帖最后由 dongwenqi 于 2017-7-8 10:53 编辑

就在几个小时前,新一轮的勒索软件攻击在全球爆发,这次的规模看起来与不久前席卷全球的WannaCry勒索软件不相上下。

TIM截图20170708105221.jpg

短短几个小时,就有不同国家的好几家大公司报告了感染情况,感染很可能会进一步蔓延。

目前尚不清楚这种新出现的勒索软件到底是什么。有人认为可能是Petya的某种变体(Petya.A、Petya.D或PetrWrap),也可能是WannaCry(其实不是)。卡巴斯基实验室专家目前正在调查这一新的威胁,一旦他们掌握了确凿的事实,我们会更新本文。

这次的攻击看上去很复杂,涉及好几个攻击向量。我们可以肯定的是攻击利用了修改后的EternalBlue漏洞,至少在公司网络中传播的勒索软件利用是这种漏洞。了解关于此攻击的更多技术方面信息。

TIM截图20170708105232.jpg

目前已知卡巴斯基实验室的产品能利用卡巴斯基安全网络(KSN)检测到这种新型勒索软件,结论字符串是UDS:DangerousObject.Multi.Generic。下面是我们建议客户采取的措施:

1.确保”卡巴斯基安全网络”和”系统监控”组件已打开。

2.立即手动更新反病毒数据库。在接下来的几个小时,最好多更新几次。

3.作为一种额外的保护手段,还可以使用AppLocker功能来禁用执行perfc.dat文件和Sysinternals Suite中PSExec实用程序。

4.安装Windows的所有安全更新。其中一个安全更新特别重要,它会修复EternalBlue利用的漏洞。请参阅具体操作说明

据外媒《Motherboard》报道的最新消息,德国电子邮件提供商Posteo已经关闭了受害者可能用于联系勒索者、确认比特币交易和接收解密密钥的电子邮件地址。这意味着想支付赎金给犯罪分子来拿回自己文件的受害者无法再这样做了。当然,卡巴斯基实验室不主张支付赎金,对于上述情况这样做似乎毫无意义。

更新

卡巴斯基实验室研究人员在分析了加密例程的高级代码后,确定攻击者无法解密受害用户的加密磁盘。要想解密,攻击者需要安装ID。在一些老版本的类似勒索软件(如Petya/Mischa/GoldenEye)中,此安装ID含有密钥恢复所需的信息。

ExPetr(也称为NotPetya)没有该安装ID,这意味着攻击者无法提取解密所需的信息。总之,受害用户无法恢复其数据。

不要支付赎金。没用的。


vanishtime
发表于 2017-7-8 10:59:34 | 显示全部楼层
又来一个。。。
那年夏天oo
发表于 2017-7-8 11:31:20 | 显示全部楼层
怎么专挑周末时间来攻击啊。我也是够了。
超超~.~
发表于 2017-7-8 15:45:49 | 显示全部楼层
感觉卡巴有点卡视频,就换了诺顿,浏览器的启动速度快了一点,视频还是会卡,估计是网络的锅,不过,来吧,正好试试诺顿的实力
dongwenqi
 楼主| 发表于 2017-7-8 16:10:13 | 显示全部楼层
超超~.~ 发表于 2017-7-8 15:45
感觉卡巴有点卡视频,就换了诺顿,浏览器的启动速度快了一点,视频还是会卡,估计是网络的锅,不过,来吧, ...

卡视频?我这里360安全和卡巴2017,没卡视频
LSPD
发表于 2017-7-8 16:24:59 | 显示全部楼层
这枚勒索好像还没进入国内
WINDIYpurchase
发表于 2017-7-8 16:29:24 | 显示全部楼层
了解下    不了解的文件不点就行了     做好备份
dongwenqi
 楼主| 发表于 2017-7-8 16:34:30 | 显示全部楼层
LSPD 发表于 2017-7-8 16:24
这枚勒索好像还没进入国内

过段时间慢慢的发展到国内
PeepingTom
发表于 2017-7-8 17:33:16 | 显示全部楼层
這四種已經有疫苗了NotPetya/Petya/Petna/SortaPetya,打開記事本 ;
把下列代碼貼上儲存為  ((疫苗.BAT))批次檔 :
@echo off
REM Administrative check from here: https://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights


REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224

REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer@lawrenceabrams



echo Administrative permissions required.
Detecting permissions...

echo.
               
net session >nul 2>&1

if %errorLevel% == 0
(
        if exist C:\Windows\perfc
(
               
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
               
echo.
       
) else
(
               
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya.
> C:\Windows\perfc
  
              
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya.

> C:\Windows\perfc.dll
         
      
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya.

> C:\Windows\perfc.dat

               
attrib +R C:\Windows\perfc
               
attrib +R C:\Windows\perfc.dll
               
attrib +R C:\Windows\perfc.dat


               
echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
               
echo.
)
)
else
(
       
echo Failure: You must run this batch file as Administrator.
)
  


pause
===========完====================
超超~.~
发表于 2017-7-8 21:40:47 | 显示全部楼层
dongwenqi 发表于 2017-7-8 16:10
卡视频?我这里360安全和卡巴2017,没卡视频

不是卡巴不能和360搭配吗,你怎么也玩起搭配了?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-24 09:54 , Processed in 0.055136 second(s), 7 queries , MemCached On.

快速回复 返回顶部 返回列表