官方紧急通报:全球爆发勒索病毒 已感染机器断网
国家网络与信息安全信息通报中心紧急通报:2017年6月27日夜间开始,Petya勒索病毒在全球多个国家爆发。此次病毒爆发使用了已知的Office/wordpad远程执行代码漏洞(CVE-2017-0199),通过伪装成求职简历电子邮件进行传播,用户点击该邮件后释放可执行文件,病毒在成功感染本机后形成初始扩散源,再利用永恒之蓝漏洞在内网中寻找打开445端口的主机进行传播,使得病毒可以在短时间内呈爆发态势,该病毒在感染后写入计算机的硬盘主引导区,相较普通勒索病毒对系统更具有破坏性。
针对上述情况,请广大计算机用户采取以下紧急措施:一是及时更新操作系统补丁,补丁地址为https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;二是更新Microsoft Office/wordpad远程执行代码漏洞(CVE-2017-0199)补丁,补丁地址为:https://technet.microsoft.com/zh-cn/office/mt465751.aspx;三是禁用Windows系统下的管理控件WMI服务。
已感染病毒机器立即断网,避免进一步传播感染。
瑞星:Petya勒索病毒全球爆发 目前已影响到中国
2017年6月28日,在“永恒之蓝”勒索病毒阴霾还未完全消散时,一个名为“Petya(中文音译彼佳)”的最新勒索病毒再度肆虐全球。目前,包括乌克兰首都国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。目前影响的国家有UK、Ukraine、India、Netherlands、Spain、Denmark等。据瑞星反病毒监测网监测,目前在中国国内也出现用户遭到攻击的情况。
根据瑞星威胁情报数据平台显示,Petya勒索病毒目前在北京、上海、甘肃、江苏等地均有少量感染。目前已有36人交付赎金。
关于Petya勒索病毒防范 长亭科技给出最佳方案
6月28日火线消息,席卷全球的勒索病毒又来了,为什么说又?因为一个半月前的5月12日,WannaCry蠕虫通过MS17-010漏洞(即NSA泄露的危险漏洞“EternalBlue”——中文译名:永恒之蓝)在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。后续统计数据显示:至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
而此次袭击乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国的Petya勒索病毒,采用了WannaCry 的传播机制。与WannaCry不同的是,Petya勒索病毒还可以通过Office文档的形式传播(利用Office RTF漏洞——CVE-2017-0199 )。在用户下载并阅读文档的过程执行病毒,同时可利用SMB漏洞传播到同一网络上的其余机器上。据了解,以上多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。截至目前,腾讯电脑管家官微披露,国内已有用户中招。
鉴于全球各大安全公司基本上都已经发布了一遍该病毒的技术分析,在此不加累述(反正都差不多就是告诉你病毒是怎么完爆你的)。应对方式也大同小异无外乎就是打补丁、备份、停止或禁用服务器的WMI服务、更改弱口令和空口令、不打开未知链接和文件、关闭TCP135端口、使用各家特供版的免疫工具……呃,是不是感觉又是“亡羊补牢”的老一套?跟老叫你多喝热水的男朋友一样令人倒胃口?那么,有没有一种一劳永逸的办法,彻底告别勒索病毒的威胁?
答案?先买个关子,大家听我讲个故事先。在国贸上班的小张加班到深夜,突然邮箱弹出一封标题火爆到不可描述的邮件,列位看官猜猜小张点开后该邮件后会发生什么?没错,这是一封打开就会自动运行病毒的钓鱼邮件,假设该病毒正是Petya勒索病毒,而小张公司只是个几十人的公告公司,没有专门的网络安全防护工作人员,公司的几十台电脑也因为某些不可描述的原因而没打补丁。当病毒遇上不设防的电脑,这还有什么说的天雷勾地火爆炸吧小宇宙,感染了小张电脑的Petya立马火力全开不停歇的扫描区域网内的其它电脑。于是,第二天上班后,所有电脑开机后桌面都变成了乌克兰副总理同款,惊喜不惊喜意外不意外?
第二个假设是如果该公司装了长亭科技旗下的谛听内网威胁感知系统,第一个假设就会被第二个假设吃掉。因为长亭谛听能够快速发现内网安全事件,通过协同分析和应急反馈,有效帮助用户快速实施针对性防御措施,保护用户的企业信息资产远离威胁。这些威胁自然包含借助各种Windows及其软件漏洞传播的WannaCry、Petya……及更多恶意未知威胁。
敢起名为《西游记》中能识别真假美猴王的地藏王坐下神兽“谛听”,让我们看看长亭谛听内网威胁感知系统有何过人之处。
一、难知如阴——高交互蜜罐,高度伪装
长亭谛听内网威胁感知系统会以伪装技术为基础,在用户内部网络中部署与真实资产相似的高交互式蜜罐节点,这些蜜罐节点对攻击者有极大迷惑性,有助于企业及时预警发现内网威胁。
二、凝神谛听——实时监测,快速响应
长亭谛听内网威胁感知系统通过蜜罐节点反馈的大量日志信息,将形成精准的告警信息并通知用户,让用户第一时间感知到APT攻击等高级入侵行为。大量部署的蜜罐节点,组成蜜罐网络,有效的诱骗攻击、检查威胁,构建内部响应网,快速检测APT攻击、自动化网络僵尸攻击等。
三、火眼金睛——预警难以发现的入侵
攻击手段越高明,其隐蔽性就越高。例如,APT攻击前期会融合进目标系统,在收集信息时不会采取任何可能触发警报或者引起怀疑的行动。以往的内网防护产品很难发现这样的潜伏,攻击和威胁可能在用户环境中存在一年以上。长亭谛听内网威胁感知系统利用高仿真蜜罐实时监测,可以及时发现内网异常,第一时间发现高级入侵行为(包括利用0day漏洞入侵的行为)。
四、穷寇必追——回溯攻击方法和意图
在构建的欺骗环境中检测到攻击方的探测与攻击行为之后,蜜罐节点将捕获威胁行为数据,监控和记录攻击方在蜜罐欺骗环境中进行的所有攻击行为,为追溯与分析安全威胁提供基础数据支持。
五、八面玲珑——弹性部署,支持集中管理
长亭谛听内网威胁感知系统在完成首次部署后,即可进入工作状态。网络安全管理员通过管理后台查看安全事件的全局统计信息、各蜜罐节点的服务状态、管理和分析敏感安全事件。支持传统数据中心和云计算中心(阿里云、AWS)部署、支持根据用户实际情况部署大量蜜罐节点、支持对蜜罐进行集中管理、支持部署和管理上千子网。
六、温润如玉——无需管理,易于维护
长亭谛听内网威胁感知系统采用长亭云进行云端管理,无需用户人工介入。云端对蜜罐服务进行监控、管理、更新。谛听的系统升级由云端自动推送,安全有效,极大地降低维护成本。
而且,它还有免费版可以申请,步骤如下:
1、打开长亭科技官网https://chaitin.cn,会看到以下界面:
点击“获取长亭谛听(免费版)”按钮。
2、微信扫描网页二维码,注册长亭云账号,等待审核通过。
这一步请确保:企业名称填写完整、企业邮箱与企业名称相符、个人信息真实。长亭的工作人员会及时进行企业信息审核,并在第一时间发送通知邮件。
3、下载安装文件,阅读使用文档,即可使用长亭谛听(免费版),使用者可部署两个伪装节点来记录攻击信息。
是不是简单多了?再也不用为吓死宝宝的勒索病毒而头疼了?那还等什么,趁着这次的Petya勒索病毒还未在我国范围内大规模爆发,自用的同时也给身边的朋友普及一下,从而避免遭受来自Web层面的位置恶意攻击,避免不必要的损失。
阅读