当前位置: 网站首页 > 网络公告 > 正文

关于防范Petya勒索病毒及其变种Petwarp的紧急通知

【来源:    | 发布日期:2017-10-12   | 点击:  】

各有关单位

627,据相关机构通报,Petya勒索病毒及其变种Petwarp对乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国进行攻击,政府、银行、电力系统、通讯系统、企业及机场都不同程度地受到了影响,部分欧洲驻我国分支机构也被感染。现将有关情况通知如下:

一、病毒情况

Petya勒索病毒对硬盘驱动器主文件表(MFT)进行加密,使主引导记录(MBR)不可操作,以占用物理磁盘上的文件名、大小和位置信息,限制对完整系统的访问,从而让电脑无法正常启动。被感染电脑若需恢复,需支付价值300美元的比特币。该病毒影响范围包括Windows XP及以上版本的操作系统。

经相关机构对部分病毒样本初步分析发现,此次攻击的勒索病毒是Petya的新变种Petwarp。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式,采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。分析表明,该病毒可能具有感染域控制器后提取域内机器口令的能力。

二、防范措施

本次Petya勒索病毒利用的并非0DAY1DAY漏洞,而是利用的陈旧漏洞,其传播方式也是利用类似弱口令/空口令此类基本配置问题。这些问题说明,系统策略加固和及时的漏洞补丁升级,是保证安全的必要手段。

1.邮件防范。带有不明附件的邮件请勿打开,收到的不明链接请勿点击;

2.更新补丁。一是更新操作系统补丁(MS),地址:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

二是 更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁,地址:https://technet.microsoft.com/zh-cn/office/mt465751.aspx

3.禁用WMI服务。禁用操作方法:https://zhidao.baidu.com/question/91063891.html

4.更改空口令和弱口令。如操作系统存在空口令或弱口令的情况,请及时将口令更改为高强度的口令。

5.使用各网络安全公司提供的针对“永恒之蓝”病毒的免疫工具。

如已感染该病毒,建议重新安装系统,更新补丁、禁用WMI服务、使用免疫工具进行免疫。如有重要文件被加密,已开启Windows自动镜像功能的,可尝试恢复镜像,或等待后续可能出现的解密工具。

山东科技大学网络与信息中心

2017年6月29日

上一条:关于对Windows Office远程代码执行漏洞 开展安全加固的紧急通报
下一条:关于Chinaunicom WLAN停止运营的公告