同時,在27號18點左右,騰訊云聯(lián)合騰訊電腦管家發(fā)現相關樣本在國內出現,騰訊云已實時啟動用戶防護引導,到目前為止,云上用戶尚無感染案例,但建議沒打補丁用戶盡快打補丁避免感染風險。
經云鼎實驗室確認,這是一種類似于“WannaCry”的勒索病毒新變種,傳播方式與“WannaCry”類似,其利用EternalBlue(永恒之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進行傳播,同時還具備局域網傳播手法。
騰訊云主機防護產品云鏡已實時檢測該蠕蟲,云鼎實驗室將持續(xù)關注該事件和病毒動態(tài),第一時間更新相關信息,請及時關注,修復相關漏洞,避免遭受損失。
病毒特征
在中了該病毒后,電腦將會被鎖住,出現以下勒索提示信息,并要求支付300美元的比特幣才能解鎖。
影響范圍
通過分析,我們發(fā)現病毒采用多種感染方式,其中通過郵件投毒的方式有定向攻擊的特性,在目標中毒后會在內網橫向滲透,通過下載更多載體進行內網探測。
網絡管理員可通過,監(jiān)測相關域名/IP,攔截病毒下載,統(tǒng)計內網感染分布:
- 84.200.16.242
- 111.90.139.247
- 185.165.29.78
- 111.90.139.247
- 95.141.115.108
- COFFEINOFFICE.XYZ
- french-cooking.com
網絡管理員可通過如下關鍵HASH排查內網感染情況:
- 415fe69bf32634ca98fa07633f4118e1
- 0487382a4daf8eb9660f1c67e30f8b25
- a1d5895f85751dfe67d19cccb51b051a
- 71b6a493388e7d0b40c83ce903bc6b04
防護方案
經過確認,勒索病毒是利用EternalBlue進行傳播,可以采用以下方案進行防護和查殺:
1、騰訊云用戶請確保安裝和開啟云鏡主機保護系統(tǒng),云鏡可對海量主機集中管理,進行補丁修復,病毒監(jiān)測。
2、更新EternalBlue&CVE-2017-0199對應漏洞補丁
補丁下載地址:
http://www.catalog.update.microsoft.com/Search.aspxq=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
3、終端用戶使用電腦管家進行查殺和防護
電腦管家已支持對EternalBlue的免疫和補丁修復,也支持對該病毒的查殺,可以直接開啟電腦管家進行防護和查殺。
