发生了什么?
6月27日,一勒索软件攻击浪潮已攻击超过 65 个国家/地区的数万台计算机。乌克兰和俄罗斯受到的打击最为严重。圣戈班或法国国家铁路公司等某些法国公司也受到了影响,这促使巴黎检察官办公室展开调查。根据卡巴斯基,当恶意软件成功感染计算机时,它会使用 AES 128 和 RSA 2048 算法加密所有数据,然后修改引导区域(主引导记录),然后导致计算机重新启动。然后计算机被完全封锁。它会显示一条消息,提示用户将等值 300 美元转移到比特币地址。
这种攻击叫什么?
有几个名字正在流传。恶意软件代码片段来自一种名为 Petya 的已知勒索软件。这就是为什么一些研究人员将其称为“PetrWraper”,或简称为“Petya”。但其他人认为该恶意软件太过不同,无法与 Petya 联系在一起。所以他们合乎逻辑地称其为“NotPetya”或“NyietPetya”。还有一些人出于无人知晓的原因想出了“GoldenEye”这个名字。在本文的其余部分中,我们使用术语 NotPetya,它的优点是易于发音。
NotPetya 如何感染受害者?
以想哭,NotPetya 主要针对企业和组织。但与它的前身不同的是,它并没有在互联网上广泛传播。根据微软首次感染发生在乌克兰:黑客利用会计软件(MEDoc)的更新程序将恶意代码输入到当地一家公司的网络中。
卡巴斯基发现了另一个感染媒介,即顿涅茨克地区乌克兰城镇巴赫穆特的网站。黑客操纵主页,导致下载伪装成 Windows 更新的可执行文件。黑客可能使用了其他手段,例如发送诱杀电子邮件。但在现阶段,现在下结论还为时过早。
https://twitter.com/craiu/status/880011103161524224
NotPetya 如何在计算机网络中传播?
一旦成功在公司网络内的一台计算机上站稳脚跟,NotPetya 将尝试在公司内部网络中传播以捕获其他计算机。为此,恶意软件有几个条件。它集成了该组织发布的从 NSA 窃取的两个黑客工具影子经纪人,即《永恒之蓝》和《永恒的浪漫》。两者都允许您通过 SBMv1 协议控制机器。他们依赖的是已经修补了几个月的缺陷。
如果 SMB 协议路由不成功,恶意软件将在计算机上查找管理员密码,并在必要时尝试通过 TCP 端口 139 和 445 连接到其他终端。如果它检测到服务器,或者更好的是域控制器,它就会将在那里放置一个可执行文件,该可执行文件将使用 Microsoft 远程管理工具(PSEXEC 和 WMIC)进行远程操作。这种方法的优点是,即使机器拥有所有安全更新,黑客也可以感染机器。
如果公司的网络与合作伙伴连接,则没有什么可以阻止黑客以这种方式感染其他组织。
支付赎金后我们可以恢复数据吗?
不。解密过程是完全不起作用因为德国主机 Posteo 停用了受害者用来确认支付赎金的唯一电子邮件地址。如果没有此确认,黑客就无法识别付款人,因此无法发送加密密钥(如果他们打算这样做)。
就安全研究员而言马特·苏奇认为勒索信息只是为媒体机器提供诱饵,这次攻击的真正目的是破坏。根据他的分析,引导区的数据并没有保存到任何地方,只是简单地替换成了别的东西。因此,该磁盘无论如何都无法恢复。“Petya 的当前版本已被重写为擦除器,而不是勒索软件”,专家强调。
如何保护自己?
现在大多数防病毒解决方案都会检测恶意软件。为了防止传播,网络管理员还可以阻止 SMBv1 流量以及 PSEXEC 和 WMIC 管理工具。最后,我们要指出的是,存在一个“ 疫苗 ”由研究员 Amit Serper 发现。在继续进行数据加密之前,恶意软件会查找本地文件(“perfc”)是否存在。如果它存在,它就会停止其灾难性的工作。所以你只要人为地创建这个文件就可以不再被打扰了。
![测试 [MAJ] Munic:提高质量的 GPS 和报警盒](https://webbedxp.com/statics/image/placeholder.png)
