HKCert
  

Petwrap / NotPetya 加密勒索軟件加密受害者數據

發布日期: 28 / 06 / 2017
最後更新: 28 / 06 / 2017
風險程度:  


一種新發現的變種加密勒索軟件 Petwrap / Petrwrap / Petya / NotPetya / Nyetya 正快速散播。香港電腦保安事故協調中心發現此勒索軟件正於海外廣泛散播。多個不同名稱顯示業界仍在爭論此勒索軟件是否與另一已知勒索軟件Petya有關。

 

它與WannaCry勒索軟件利用相同的攻擊手法針對SMB v1.0漏洞。有報告指該勒索軟件透過釣魚電郵散播。

 

由於檔案名稱不會被修改,而且電腦在被感染一小時後,才會重新啟動及顯示勒索訊息,當受害人發現感染時,局域網內其他電腦可能已被攻擊。

 

攻擊途徑:

  • EthernalBlue - WannaCry利用的漏洞
  • Psexec - 一個正當的視窗管理軟件。
  • WMI - Windows Management Instrumentation, 一個正當的視窗元件。

注意﹕此漏洞正被利用來散播加密勒索軟件攻擊。

影響

  • 加密受害者電腦上的masterboot record (MBR)。
  • 受感染系統會於一小時後重新啟動。由於MBR已被破壞,系統會顯示勒索訊息,無法正常啟動。
  • 被加密勒索軟件加密的數據將無法還原。
  • 嘗試攻擊局域網內其他電腦。

 

  • 阻斷服務
  • 篡改

  1. 安裝最新的保安更新程式。
    1. 提供各版本視窗修補程式下載連結 (亦提供視窗 XP、視窗伺服器 2003 及視窗 8 特別修補程式):
      https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ (捲動至頁底)
  2. 減少組織內擁有Domain管理員權限的人員數量,並在日常運作時使用普通權限帳戶。
  3. 確保已設置個人防火牆,且沒有開放SMB服務(技術上要關閉TCP 139和445端口)。
  4. 安裝防毒軟件或互聯網保安應用程式並更新病毒資料庫。
  5. 進行離線備份 (即是使用其他儲存裝置,備份後立即移除)。
  6. 不要打開任何可疑電郵內的連結或附件。
  7. 確保電腦已有基本保護,包括啟用及執行視窗更新、安裝已有最新病毒資料庫的防毒軟件及啟用視窗防火牆。