亚洲综合伊人,成人欧美一区二区三区视频不卡,欧美日韩在线高清,日韩国产午夜一区二区三区,大胆美女艺术,一级毛片毛片**毛片毛片,你瞅啥图片

您當前的位置是:  首頁 > 新聞 > 國內(nèi) >
 首頁 > 新聞 > 國內(nèi) >

華為全面解析PetrWrap勒索軟件、巧妙應對快準狠

2017-06-30 10:11:28   作者:   來源:CTI論壇   評論:0  點擊:

  北京時間6月27晚間,一款勒索軟件席卷歐洲,其他國家和地區(qū)也有感染報告。據(jù)統(tǒng)計,英、法、美、德有超過2000個電腦受到感染,重災區(qū)為烏克蘭,其重要銀行和政府首腦計算機遭到了該勒索軟件的攻擊。
  ”業(yè)內(nèi)很多安全廠商認為該勒索軟件為Petya變體,并將其命名為“PetrWrap”,但也有安全廠商認為這是一款全新的勒索軟件,比如卡巴斯基將該勒索軟件命名為“ExPetr”。
  攻擊影響
  一旦遭受攻擊,該勒索軟件會加密硬盤的MFT并修改MBR,然后在系統(tǒng)的定時任務中增加計算機重啟任務。一段時間后,系統(tǒng)會自動重啟。重啟過程中,勒索軟件會仿冒磁盤檢查,并對磁盤進行加密操作。然后提示用戶支付$300的比特幣,否則無法正常使用系統(tǒng)。
  攻擊途徑
  經(jīng)過華為未然實驗室持續(xù)監(jiān)測分析發(fā)現(xiàn):勒索軟件首先通過電子郵件感染內(nèi)網(wǎng)用戶,具體方法是通過釣魚郵件發(fā)送含有CVE-2017-0199漏洞的RTF文檔。當用戶不小心打開該惡意文檔后,用戶電腦中便自動執(zhí)行惡意代碼,加載該勒索軟件。
  當該勒索軟件登陸內(nèi)部主機后,通過下面兩種方法進行內(nèi)網(wǎng)的橫向傳播:
  • 通過破解系統(tǒng)的弱口令進行傳播;
  • 利用“永恒之藍”漏洞(MS17-010)進行傳播。
\
  勒索軟件傳播示意圖
  華為教你四步應對法
  1F不要打開可疑郵件
  利用釣魚郵件進行傳播是勒索軟件感染的一個常用方法,用戶應加強安全意識,在任何時候,遇到來歷不明的郵件,或攜帶不明附件和不明鏈接的郵件,請勿打開。
  2F更改系統(tǒng)口令
  為避免系統(tǒng)口令被破解,使用弱口令的用戶應立即修改系統(tǒng)密碼,設置高強度密碼。
  3F更新漏洞補丁
  • 針CVE-2017-0199漏洞,請及時更新如下補丁:
  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
  • 針對“永恒之藍”(MS17-010)漏洞,請及時更新如下補丁:
  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  4F臨時措施
  1. 關閉139,445端口,此前我們針對 WannaCry 已經(jīng)提供過具體方法。
  2. 關閉WMI服務,步驟如下:
  • 運行“services.msc”。
  • 雙擊“Windows Management Instrumentation”。
\
  • 停止相應服務。
\
  3. 設置KillSwitch。
  有研究人員發(fā)現(xiàn),該勒索軟件也存在Kill Switch。該勒索軟件在運行時,首先會搜索某個本地文件,如果該文件存在,則退出加密過程。用戶只需要在c:\windows目錄下創(chuàng)建明文 “perfc”的文件,并將其權(quán)限設置為“只讀”即可。
  • 已經(jīng)有安全專家為戶寫好了腳本:
  https://download.bleepingcomputer.com/bats/nopetyavac.bat
  事后應對,不如防患于未然
  基于傳統(tǒng)的以防御為中心的安全防護體系已不能有效防御未知威脅,針對勒索軟件僅僅依靠簽名的更新也是不夠的,因此需要建設以未知威脅檢測為核心的安全防御體系。
  華為安全精準檢測未知威脅
  華為FireHunter6000沙箱通過病毒掃描、信譽掃描、靜態(tài)分析和虛擬執(zhí)行等技術(shù),以及獨有的行為模式庫技術(shù),根據(jù)情況分析給出精確的檢測報告,實現(xiàn)對未知惡意文件的檢測。配合其他安全設備,能快速對高級惡意文件進行攔截,有效避免未戶。
  50+文件類型檢測,全面識別未知惡意軟件;
  • 4重縱深檢測,準確性達99.5%以上;
  • 秒級聯(lián)動響應,快速攔截未知惡意軟件。
  此次勒索軟件借助兩個重要漏洞進行傳播:CVE-2017-0199和MS17-010,這兩個漏洞均為已知漏洞,華為安全產(chǎn)品可以有效檢測攜帶CVE-2017-0199利用代碼的惡意文檔和針對MS17-010漏洞利用的蠕蟲感染流量。
  通過還原郵件流量并將提取出的郵件附件送檢,華為FireHunter6000沙箱可以有效捕獲郵件附件中的惡意RTF文檔,并識別其中如Petya勒索軟件及可疑的網(wǎng)絡通訊活動:
\
  華為用戶如何獲取防護能力?
  華為入侵防御相關產(chǎn)品亦可檢測針對CVE-2017-0199和MS17-010漏洞的攻擊,請用戶升級IPS特征庫來獲得防護能力:

標題

內(nèi)容

備注

IPS簽名庫版本

20170628xx

xx是根據(jù)不同型號的編碼,日期比這個庫新的版本都可以防護此漏洞。

IPS簽名ID

372910 372912 372913

Microsoft Office OLE2Link 遠程代碼執(zhí)行漏洞。

支持的設備類型

USG6000/9500系列,Eudemon8000E系列,NIP6000以上系列產(chǎn)品

具體情況,請參考IPS簽名庫下載網(wǎng)址。

IPS簽名庫的下載地址

http://sec.huawei.com/

-

升級方法

聯(lián)網(wǎng)設備可以自動升級,若需手動升級,請從上述地址下載離線升級包。

  此外,我們?nèi)匀唤ㄗh用戶按照上一章的建議升級系統(tǒng)補丁,以修復漏洞,從根本上消除被攻擊的可能。

相關熱詞搜索: 華為 PetrWrap

上一篇:神州泰岳炫酷亮相2017軟博會

下一篇:最后一頁

專題