欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

華為全面解析PetrWrap勒索軟件、巧妙應(yīng)對(duì)快準(zhǔn)狠

2017-06-30 10:11:28 作者：來(lái)源：CTI論壇評(píng)論：0 　點(diǎn)擊：

　　北京時(shí)間6月27晚間，一款勒索軟件席卷歐洲，其他國(guó)家和地區(qū)也有感染報(bào)告。據(jù)統(tǒng)計(jì)，英、法、美、德有超過(guò)2000個(gè)電腦受到感染，重災(zāi)區(qū)為烏克蘭，其重要銀行和政府首腦計(jì)算機(jī)遭到了該勒索軟件的攻擊。

　　”業(yè)內(nèi)很多安全廠商認(rèn)為該勒索軟件為Petya變體，并將其命名為“PetrWrap”，但也有安全廠商認(rèn)為這是一款全新的勒索軟件，比如卡巴斯基將該勒索軟件命名為“ExPetr”。

　　攻擊影響

　　一旦遭受攻擊，該勒索軟件會(huì)加密硬盤(pán)的MFT并修改MBR，然后在系統(tǒng)的定時(shí)任務(wù)中增加計(jì)算機(jī)重啟任務(wù)。一段時(shí)間后，系統(tǒng)會(huì)自動(dòng)重啟。重啟過(guò)程中，勒索軟件會(huì)仿冒磁盤(pán)檢查，并對(duì)磁盤(pán)進(jìn)行加密操作。然后提示用戶(hù)支付$300的比特幣，否則無(wú)法正常使用系統(tǒng)。

　　攻擊途徑

　　經(jīng)過(guò)華為未然實(shí)驗(yàn)室持續(xù)監(jiān)測(cè)分析發(fā)現(xiàn)：勒索軟件首先通過(guò)電子郵件感染內(nèi)網(wǎng)用戶(hù)，具體方法是通過(guò)釣魚(yú)郵件發(fā)送含有CVE-2017-0199漏洞的RTF文檔。當(dāng)用戶(hù)不小心打開(kāi)該惡意文檔后，用戶(hù)電腦中便自動(dòng)執(zhí)行惡意代碼，加載該勒索軟件。

　　當(dāng)該勒索軟件登陸內(nèi)部主機(jī)后，通過(guò)下面兩種方法進(jìn)行內(nèi)網(wǎng)的橫向傳播：

通過(guò)破解系統(tǒng)的弱口令進(jìn)行傳播；
利用“永恒之藍(lán)”漏洞（MS17-010）進(jìn)行傳播。

　　勒索軟件傳播示意圖

　　華為教你四步應(yīng)對(duì)法

　　1F不要打開(kāi)可疑郵件

　　利用釣魚(yú)郵件進(jìn)行傳播是勒索軟件感染的一個(gè)常用方法，用戶(hù)應(yīng)加強(qiáng)安全意識(shí)，在任何時(shí)候，遇到來(lái)歷不明的郵件，或攜帶不明附件和不明鏈接的郵件，請(qǐng)勿打開(kāi)。

　　2F更改系統(tǒng)口令

　　為避免系統(tǒng)口令被破解，使用弱口令的用戶(hù)應(yīng)立即修改系統(tǒng)密碼，設(shè)置高強(qiáng)度密碼。

　　3F更新漏洞補(bǔ)丁

針CVE-2017-0199漏洞，請(qǐng)及時(shí)更新如下補(bǔ)�。�

　　https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

針對(duì)“永恒之藍(lán)”（MS17-010）漏洞，請(qǐng)及時(shí)更新如下補(bǔ)�。�

　　https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

　　4F臨時(shí)措施

關(guān)閉139，445端口，此前我們針對(duì) WannaCry 已經(jīng)提供過(guò)具體方法。
關(guān)閉WMI服務(wù)，步驟如下：

運(yùn)行“services.msc”。
雙擊“Windows Management Instrumentation”。

停止相應(yīng)服務(wù)。

　　3. 設(shè)置KillSwitch。

　　有研究人員發(fā)現(xiàn)，該勒索軟件也存在Kill Switch。該勒索軟件在運(yùn)行時(shí)，首先會(huì)搜索某個(gè)本地文件，如果該文件存在，則退出加密過(guò)程。用戶(hù)只需要在c:\windows目錄下創(chuàng)建明文 “perfc”的文件，并將其權(quán)限設(shè)置為“只讀”即可。

已經(jīng)有安全專(zhuān)家為戶(hù)寫(xiě)好了腳本：

　　https://download.bleepingcomputer.com/bats/nopetyavac.bat

　　事后應(yīng)對(duì)，不如防患于未然

　　基于傳統(tǒng)的以防御為中心的安全防護(hù)體系已不能有效防御未知威脅，針對(duì)勒索軟件僅僅依靠簽名的更新也是不夠的，因此需要建設(shè)以未知威脅檢測(cè)為核心的安全防御體系。

　　華為安全精準(zhǔn)檢測(cè)未知威脅

　　華為FireHunter6000沙箱通過(guò)病毒掃描、信譽(yù)掃描、靜態(tài)分析和虛擬執(zhí)行等技術(shù)，以及獨(dú)有的行為模式庫(kù)技術(shù)，根據(jù)情況分析給出精確的檢測(cè)報(bào)告，實(shí)現(xiàn)對(duì)未知惡意文件的檢測(cè)。配合其他安全設(shè)備，能快速對(duì)高級(jí)惡意文件進(jìn)行攔截，有效避免未戶(hù)。

　　50+文件類(lèi)型檢測(cè)，全面識(shí)別未知惡意軟件；

4重縱深檢測(cè)，準(zhǔn)確性達(dá)99.5%以上；
秒級(jí)聯(lián)動(dòng)響應(yīng)，快速攔截未知惡意軟件。

　　此次勒索軟件借助兩個(gè)重要漏洞進(jìn)行傳播：CVE-2017-0199和MS17-010，這兩個(gè)漏洞均為已知漏洞，華為安全產(chǎn)品可以有效檢測(cè)攜帶CVE-2017-0199利用代碼的惡意文檔和針對(duì)MS17-010漏洞利用的蠕蟲(chóng)感染流量。

　　通過(guò)還原郵件流量并將提取出的郵件附件送檢，華為FireHunter6000沙箱可以有效捕獲郵件附件中的惡意RTF文檔，并識(shí)別其中如Petya勒索軟件及可疑的網(wǎng)絡(luò)通訊活動(dòng)：