跳至主內容

新型的勒索軟件 NotPetya

發佈日期: 2017年06月29日 2021 觀看次數

昨天 (2017年06月28日) 一隻新的勒索軟件在烏克蘭及多個歐美地區廣泛散播,該勒索軟件的名稱包括有 Petwrap / Petrwrap / Petya / NotPetya / Nyetya / GoldenEye 等等。至今為止,已知的散播源頭有兩個:

  1. 利用一個在烏克蘭流行的軟件 M.E.Doc 中的軟件更新程序,直接執行有惡意的 DLL 檔;
  2. 經釣魚電郵散播,當中包含一個附件,如使用者打開了附件會利用 CVE-017-0199 (Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API) 漏洞下載其餘的惡意程式,最終會執行有惡意的 DLL 檔。

不論由那一個途徑感染,勒索軟件也會利用網絡掃描你家中或公司的內聯網,如有發現其它電腦,會嘗試利用 EternalBlue 攻擊工具入侵  SMB 漏洞,此外,勒索軟件會嘗試利用 PSExec及 WMI 管理工具,命令受該已被入侵電腦管理的其他電腦,直接安裝勒索軟件。

 

以下是惡意的 DLL 檔的 SHA256 散列值:

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

<資料來源: Payload Security>

 

以下是協調中心的短片,可以幫助大家理解 NotPetya 勒索軟件的威脅和如何減低保安風險:

 

如果要保護自己免受這種威脅,可依以下步驟:

  1. 執行視窗及其他應用程式的最新安全更新,尤其要留意 MS17-010;
  2. 盡量減低有網域管理權限的帳戶的數量,以縮窄網絡攻擊的範圍及影響,並在日常運作上使用正常權限的帳戶;
  3. 安裝防毒及互聯網安全軟件,並保持更新;
  4. 確保個人防火牆已經開啟,阻截來訪的 SMB 連接;
  5. 定期備份數據,並保留離線拷貝;以及
  6. 收到任何可疑的電郵時,切勿開啟當中的附件或超連結。