2017年6月27日晚,烏克蘭、俄羅斯、印度及歐洲多個國家遭遇Petya勒索病毒襲擊,政府、銀行、電力系統、通訊系統、企業以及機場都不同程度受到了影響,國內已有個別企業用戶疑似遭到攻擊。Petya勒索病毒利用Windows SMBv1漏洞進行傳播感染,采用新的加密方式,一旦感染可導致新的主引導記錄(MBR)加載勒索頁面,并提示用戶支付300美金比特幣,恢復非常困難。請各單位務必高度重視,迅速組織力量對本行業、本單位重點網站和重要信息系統開展針對性安全排查,采取必要措施消除安全漏洞隱患。
一、漏洞的基本情況
此次病毒爆發使用了已知的Office/wordpad遠程執行代碼漏洞(CVE-2017-0199),通過偽裝成求職簡歷電子郵件進行傳播,用戶點擊該郵件后釋放可執行文件,病毒在成功感染本機后形成初始擴散源,再利用永恒之藍漏洞在內網中尋找打開445端口的主機進行傳播,使得病毒可以在短時間內呈爆發態勢,該病毒在感染后寫入計算機的硬盤主引導區,相較普通勒索病毒對系統更具有破壞性。
二、防范措施建議
1、及時更新系統和漏洞補丁。及時更新操作系統補丁,補丁地址為https://technet.microsoft.com/en-us/library/security/ms17- 010.aspx。更新Microsoft Office/wordpad遠程執行代碼漏洞(CVE- 2017-0199)補丁,補丁地址為:https://technet.microsoft.com/zh-cn/ office/mt465751.aspx。
2、禁用WMI服務,關閉不必要的端口。一是禁用Windows系統下的管理控件WMI服務。二是關閉計算機的445端口和135、137、138、139等不必要開放的端口。三是加強網絡運行狀態監測、審計,如發現大量掃描139、135、445端口的網絡異常行為,及時定位掃描發起點,應立即阻斷網絡連接并進行病毒查殺,防止感染擴散。
3、防范病毒偽裝成電子郵件、文檔等形式傳播。一是不要輕易下載、打開電子郵件中的產品介紹、求職簡歷等附件文檔或文件,尤其是偽裝成rtf、doc等格式的文件。二是不要運行不可信的可執行文件。三是及時升級主機安裝的殺毒程序,在查看附件、運行程序前做到“先查殺、后使用”。
