哈根达威尔-史密斯
图:勒索病毒地址及交付赎金人数
目前,瑞星所有企业级产品与个人级产品均可对该病毒进行拦截并查杀,希望广大瑞星用户将瑞星产品更新到最新版。
virustotal网站扫描petya勒索病毒 瑞星等杀毒软件成功查杀截图
瑞星防护建议
1、更新操作系统补丁(ms)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
2、更新 microsoft office/wordpad 远程执行代码漏洞(cve-2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
3、禁用 wmi 服务
https://zhidao.baidu.com/question/91063891.html
4、安装杀毒软件,并开启主动防御。
5、不要点击陌生邮件的附件。
病毒详细分析 一、背景介绍
新勒索病毒petya袭击多国,通过eternalblue(永恒之蓝)和eternalromance(永恒浪漫)漏洞传播。与wannacry相比,该病毒会加密ntfs分区、覆盖mbr、阻止机器正常启动,使计算机无法使用,影响更加严重。
加密时会伪装磁盘修复:
图:加密时伪装
加密后会显示如下勒索界面
图:勒索信息
二、详细分析 攻击流程:
图:攻击流程
加密方式:
图:加密磁盘
启动后就会执行加密
图:重启机器
加密的文件类型
图:加密文件类型
传播方式:
病毒采用多种感染方式,主要通过邮件投毒的方式进行定向攻击,利用eternalblue(永恒之蓝)和eternalromance(永恒浪漫)漏洞在内网横向渗透。
图:漏洞利用
图:局域网传播
勒索信息:
作者邮箱和比特币钱包地址
图:作者邮箱和钱包地址
加密后的勒索信
图:勒索信
通过查看作者比特币钱包交易记录,发现已经有受害者向作者支付比特币
图:比特币钱包
