勒索病毒WannaCry肆虐全球 俄羅斯、印度、台灣 受害最嚴重
目录:
周二出现了一种新的勒索软件攻击,它使用了WannaCry攻击中利用的EternalBlue漏洞的修改版本,已经在西班牙,法国,乌克兰,俄罗斯和其他国家的全球范围内击中了2000多台PC。
这次袭击主要针对这些国家的企业,而美国匹兹堡的一家医院也受到了打击。 袭击的受害者包括中央银行,铁路,Ukrtelecom(乌克兰),Rosnett(俄罗斯),WPP(英国)和DLA Piper(美国)等。
虽然在乌克兰发现的感染率最高,但在俄罗斯排名第二,其次是波兰,意大利和德国。 接受付款的比特币账户在关闭之前完成了超过24笔交易。
虽然这次袭击的目标不是针对印度的企业,但它确实瞄准了航运巨头AP Moller-Maersk,而Jawaharlal Nehru Port则受到威胁,因为该公司在港口运营着Gateway Terminals。
Petya Ransomware如何传播?
勒索软件使用了本月早些时候在大规模WannaCry勒索软件攻击中使用的类似漏洞攻击,该攻击针对在过时版本的Windows上运行的机器,稍作修改。
可以通过在运行Windows XP到Windows 2008系统的PC上执行远程代码来利用此漏洞。
勒索软件感染PC并使用系统工具重新启动它。 重新启动后,它会加密NTFS分区中的MFT表,并使用显示赎金票据的自定义加载程序覆盖MBR。
根据卡巴斯基实验室的说法,“为了获取传播凭据,勒索软件使用自定义工具,一个Mimikatz。 这些从lsass.exe进程中提取凭据。 提取后,凭证将传递给PsExec工具或WMIC,以便在网络内部进行分发。“
PC被感染后会发生什么?
Petya感染PC后,用户无法访问显示黑屏的机器,其上显示红色文字,内容如下:
“如果您看到此文本,则您的文件不再可访问,因为它们已加密。 也许您正忙着寻找恢复文件的方法,但不要浪费我们的时间。 没有我们的解密服务,任何人都无法恢复您的文件。“
并且有关于比特币支付300美元的说明以及输入解密密钥和检索文件的方法。
如何保持安全?
目前,没有具体方法来解密Petya勒索软件所持有的人质文件,因为它使用固态加密密钥。
但安全网站Bleeping Computer认为,创建名为“perfc”的只读文件并将其放在C盘中的Windows文件夹中可以帮助阻止攻击。
同样重要的是,仍然没有的人立即下载并安装用于旧Windows操作系统的Microsoft补丁,以终止EternalBlue利用的漏洞。 这将有助于保护他们免受Petya等类似恶意软件攻击的攻击。
如果机器重新启动并且您看到此消息,请立即关闭电源! 这是加密过程。 如果你没有打开电源,文件就可以了。 pic.twitter.com/IqwzWdlrX6
- Hacker Fantastic(@hackerfantastic)2017年6月27日
虽然勒索软件攻击的数量和数量每天都在增加,但有人认为,在攻击的最初几个小时之后,新感染的风险会大大降低。
另请阅读:Ransomware对崛起的攻击:以下是如何保持安全。对于Petya,分析师预测该代码表明它不会传播到网络之外。 还没有人能够确定谁对这次袭击负责。
安全研究人员仍未找到解密被Petya勒索软件感染的系统的方法,因为即使现在也无法联系到黑客,受影响的每个人都将暂时保持这种状态。