2017年7月6日 YINGSOO報(bào)道，據(jù)外媒報(bào)道，一名高級警官稱，烏克蘭警方周二沒收了該國一家會計(jì)軟件公司的服務(wù)器，因?yàn)樵摴旧嫦觽鞑?dǎo)致全球很多大公司電腦系統(tǒng)癱瘓的勒索病毒。

　　烏克蘭網(wǎng)絡(luò)警察局長沙希利-德梅德尤克(Serhiy Demedyuk)稱，為了調(diào)查上周發(fā)生的肆虐全球的勒索病毒攻擊案，警方?jīng)]收了烏克蘭最流行會計(jì)軟件開發(fā)公司M.E.Doc的服務(wù)器。

　　警方還在調(diào)查誰是真正的幕后黑手。烏克蘭情報(bào)官員和安全公司聲稱，最初的一些勒索病毒是通過M.E.Doc公司發(fā)布的惡意升級程序傳播的。對此，該公司予以了否認(rèn)。

　　在警方?jīng)]收M.E.Doc公司的服務(wù)器前，網(wǎng)絡(luò)安全調(diào)查員已在周二找出了新的證據(jù)，證明此次勒索病毒攻擊活動是一些高級黑客提前好幾個月策劃的結(jié)果。這些黑客將病毒插入到了M.E.Doc公司的會計(jì)軟件中。

　　烏克蘭在周二將其納稅日期推遲了一個月，以幫助被勒索病毒攻擊的企業(yè)渡過難關(guān)。

　　安全機(jī)構(gòu)詳解新勒索病毒攻擊模式

　　經(jīng)過分析，反病毒實(shí)驗(yàn)室表示，該病毒樣本與之前收到廣泛關(guān)注的Wannacry病毒相似，同樣利用了MS17-010(永恒之藍(lán))漏洞進(jìn)行傳播。Petya勒索變種成功執(zhí)行后，首先會嘗試?yán)寐┒磳⒆陨韽?fù)制在遠(yuǎn)程計(jì)算機(jī)下的C:\Windows目錄中。但由于先前Wannacry的傳播使廠商及用戶進(jìn)行了防范升級，該變種在傳播途徑上采取了郵件、下載器和蠕蟲等多種組合傳播方式以加快傳播，其中使用了WMIC、PsExec等管理工具。

　　其中WMIC擴(kuò)展WMI(Windows Management Instrumentation，Windows管理工具)，提供了從命令行接口和批命令腳本執(zhí)行系統(tǒng)管理的支持。PsExec 是一個輕型的 telnet 替代工具，它使您可執(zhí)行其他系統(tǒng)上的進(jìn)程，并且可以獲得與控制臺應(yīng)用程序相當(dāng)?shù)耐耆换バ?。WMIC和PsExec廣泛被系統(tǒng)管理員，IT運(yùn)維人員使用。

　　勒索樣本通過釋放一個臨時文件 *.tmp，該臨時文件為windows賬戶信息(用戶名，密碼)竊取工具，該黑客工具能獲取到中毒計(jì)算機(jī)存儲的登錄其他系統(tǒng)和服務(wù)的用戶名、密碼，并將其傳送給母體。

　　勒索樣本利用獲取到登錄其他系統(tǒng)的用戶名密碼，枚舉網(wǎng)絡(luò)上的計(jì)算機(jī)，復(fù)制自身到網(wǎng)絡(luò)計(jì)算機(jī)上，并嘗試使用WMIC命令，在遠(yuǎn)程機(jī)器啟動惡意DLL。同時勒索樣本也會嘗試使用本身釋放的PsExec.exe控制網(wǎng)絡(luò)中其他計(jì)算機(jī)，以達(dá)到傳播自身的目的。

　　其中，無論是WMIC方式還是PsExec方式，如果獲取到的用戶信息不屬于Administrator，該病毒都不可以實(shí)現(xiàn)傳播。

　　綜上分析，一旦擁有管理權(quán)限的域控制服務(wù)器被最新Petya變種攻陷，域控制服務(wù)器管理的計(jì)算機(jī)都會面臨被感染的風(fēng)險(xiǎn)。

　　權(quán)威機(jī)構(gòu)建議機(jī)構(gòu)和個人分別這樣防范

　　騰訊反病毒實(shí)驗(yàn)室給企業(yè)系統(tǒng)管理員提出建議：

　　一是，除非真正需要，不要隨意給用戶開設(shè)管理員權(quán)限。二是，加強(qiáng)對域控制服務(wù)器的安全防護(hù)，更新補(bǔ)丁。三是，加固策略，禁止域控管理員帳號登錄終端。四是，禁止使用域控管理員等高權(quán)限帳號運(yùn)行業(yè)務(wù)服務(wù)，避免域控帳號泄露。五是，終端網(wǎng)絡(luò)屏蔽非必要來源的入站445和135端口請求。

　　而對于廣大電腦用戶，國家互聯(lián)網(wǎng)應(yīng)急中心昨日提出防護(hù)策略五點(diǎn)建議：

　　一是，不要輕易點(diǎn)擊不明附件，尤其是rtf、doc等格式文件。二是，內(nèi)網(wǎng)中存在使用相同賬號、密碼情況的機(jī)器請盡快修改密碼，未開機(jī)的電腦請確認(rèn)口令修改完畢、補(bǔ)丁安裝完成后再進(jìn)行開機(jī)操作。三是，更新操作系統(tǒng)補(bǔ)丁(MS)。四是，更新Microsoft Office/WordPad遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2017-0199)補(bǔ)丁。五是，禁用WMI服務(wù)。

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。