多重Petya勒索软件感染

总结

受影响系统:Microsoft Windows操作系统。

每警报(ICS-ALERT-17-181-01C) Petya恶意软件变体(更新C)

ICS-CERT注意到有关Petya恶意软件变种正在影响几个国家的报告。ICS-CERT发布此警报是为了提高关键基础设施资产所有者/运营商对Petya变体的认识，并识别已发布建议以降低与此恶意软件相关的风险的产品供应商。

此后，网络安全研究人员就注意到了Petya恶意软件2016他们最近发现了一个新的增强变种，有几个不同的名字，包括“NotPetya”、“Petrwrap”、“黄金眼”和“Nyetya”。目前的报告表明，Petya变体的最初感染媒介可能是针对会计软件MEDoc的供应链攻击的结果。

Petya变种是自动传输的蠕虫它可以通过获取网络上的凭据和活动会话来横向地在受感染的网络中移动，利用先前识别的SMB漏洞，以及使用合法的工具例如Windows Management Instrumentation命令行工具(WMIC)和PsExec网络管理工具。在初始感染后，受影响的系统扫描本地网络，通过端口139/TCP和445/TCP感染其他系统，然后加密文件和覆盖主引导记录(MBR)或擦除磁盘驱动器的扇区．有几个报告这表明Petya变种的创造者有意如此具有破坏性的在自然界中，而不是一个传统的，以经济为动机的勒索软件．无论如何，美国政府不鼓励向犯罪分子支付赎金。

未受影响的量子产品

已知以下Quantum产品不受多重Petya勒索软件感染的影响:

• DXi
• 标量键管理器
• 标量带库
• 标量LTFS
• SuperLoader 3
• StorNext q系列QD/QS/QSX
• 拉图(C5、A10、S10、S20、S30)
• LTO驱动器。
• StorNext软件
• StorNext电器
• 愿景
• vmPRO

脆弱的量子产品

以下Quantum产品版本已知易受多重Petya勒索软件感染:

• Xcellis应用总监

  Xcellis Application Director运行的是Windows 2012R2。用户负责Windows操作系统和任何相关的视频安全应用程序的管理。因此，“用户”负责将Windows操作系统更新到最新补丁并备份系统。

影响

勒索软件不仅针对家庭用户;企业也可能感染勒索软件，导致负面后果，包括:

• 敏感或专有信息的暂时或永久丢失，
• 常规操作中断，
• 恢复系统和文件时发生的财务损失
• 对组织声誉的潜在危害。

支付赎金并不能保证加密文件会被释放;它只保证恶意行为者能收到受害者的钱，在某些情况下，还能收到他们的银行信息。此外，解密文件并不意味着恶意软件感染本身已被删除。

解决方案

尽量减少与Petya恶意软件相关的风险的建议步骤:

• 应用Microsoft针对MS17-010 SMB漏洞(2017年3月14日)的补丁。
• 在连接到网络的每个系统上禁用SMBv1。有关如何禁用SMBv1的信息可从微软．虽然许多现代设备在没有SMBv1的情况下也能正常运行，但一些旧设备可能会遇到通信或文件/设备访问中断。
• 微软建议阻断端口139/TCP和445/TCP上的所有流量以防止传播。微软还建议他们的用户也可以禁用远程WMI和文件共享。
• 隔离或保护易受攻击的嵌入式系统，使其无法修补潜在的网络利用。
• 尽量减少所有控制系统设备和/或系统的网络暴露，并确保它们不能从互联网访问。
• 定位防火墙后的控制系统网络和设备，并将其与业务网络隔离

推荐的最佳实践

• 启用强大的垃圾邮件过滤器，以防止钓鱼电子邮件到达最终用户，并使用发件人策略框架(SPF)、域消息身份验证报告和一致性(DMARC)和域密钥识别邮件(DKIM)等技术对绑定电子邮件进行身份验证，以防止电子邮件欺骗。
• 扫描所有传入和传出的电子邮件，以检测威胁并过滤到达最终用户的可执行文件。
• 确保防病毒和反恶意软件解决方案设置为自动进行定期扫描。
• 管理特权帐户的使用。实施最小特权原则。除非绝对需要，否则不应向用户分配管理访问权限。那些需要管理员帐户的人应该只在必要时使用它们。
• 配置访问控制，包括文件、目录和网络共享权限，以最少的特权。如果用户只需要读取特定的文件，那么他们不应该对这些文件、目录或共享具有写访问权。
• 禁用通过电子邮件传输的microsoftoffice文件中的宏脚本。考虑使用Office Viewer软件打开通过电子邮件传输的Microsoft Office文件，而不是完整的Office套件应用程序。
• 开发、建立和实施员工教育计划，以识别骗局、恶意链接和企图进行的社会工程。
• 定期对网络进行渗透测试。一年不少于一次。理想情况下，尽可能多/实用。
• 测试备份以确保它们在使用时正常工作。

参考文献

• https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-Ransomware-Infections-Reported
• https://ics-cert.us-cert.gov/alerts/ICS-ALERT-17-181-01
• https://ics-cert.us-cert.gov/alerts/ICS-ALERT-17-181-01A
• https://ics-cert.us-cert.gov/alerts/ICS-ALERT-17-181-01B
• https://ics-cert.us-cert.gov/alerts/ICS-ALERT-17-181-01C
• https://www.us-cert.gov/ncas/current-activity/2017/03/16/Microsoft-SMBv1-Vulnerability
• https://technet.microsoft.com/library/security/MS17-010

联系信息

在美国，请拨打800-284-5101。在欧洲，请拨打免费电话+800-7826-8888或直接拨打+49 6131 324 185。您需要您的系统序列号。有关其他联系信息，请转//www.zjhxrs.com/serviceandsupport/get-help/index.aspx#contact-support