概括

受影响的系统：Microsoft Windows操作系统。

每警报（ICS-Alert-17-181-01C）Petya Malware Variant（更新C）

ICS-Cert意识到了影响若干国家的Petya恶意软件的变种的报告。ICS-Cert正在发布此警报，以提高关键基础设施资产所有者/运营商关于Petya Variant的认识，并识别已发出建议的产品供应商，以减轻与此恶意软件相关的风险。

网络安全研究人员已经意识到了彼得亚尔软件以来2016年最近鉴定了一个具有几个不同名称的新增强型变体，包括“不可步骤”，“Petrwrap”，“Goldeneye”和“Nyetya”。当前报告表明，Petya变体的初始感染载体可能是对会计软件MEDOC供应链攻击的结果。

Petya变种是自蔓延蠕虫这可以通过在网络上收获凭证和活动会话来横向移动感染网络，以前识别SMB漏洞，并使用合法工具例如Windows Management Instrumentation命令行（WMIC）工具和PsExec网络管理工具。在初始感染之后，受影响的系统在加密文件和文件之前，通过端口139/TCP和445/TCP扫描本地网络以查找其他要感染的系统覆盖主引导记录（MBR）或擦除磁盘驱动器的扇区。有几种报告这意味着佩提亚变种的创造者们想要它破坏性在自然界，而不是传统，经济动作的赎金软件. 无论如何，美国政府不鼓励向犯罪分子支付赎金。

不受影响的量子产品

已知以下量子产品不受多个Petya赎金瓶感染的影响：

• DXi公司
• 标量密钥管理器
• 标量磁带库
• 标量LTFS.
• 超级单3.
• StorNext Q系列QD/QS/QSX
• 瓦斯斯（C5，A10，S10，S20，S30）
• LTO驱动器
• StorNext软件
• Stornext设备
• 想象
• vmpro.

易受攻击的量子产品

已知以下Quantum产品的版本易受多个Petya勒索软件感染：

• XCellis申请总监

  Xcellis Application Director正在运行Windows 2012R2。客户负责管理Windows操作系统和安装的任何相关视频安全应用程序。因此，客户负责将Windows操作系统更新为最新的修补程序并备份系统。

冲击

勒索软件不仅针对家庭用户；企业也可能感染勒索软件，导致负面后果，包括：

• 暂时或永久性丢失敏感或专有信息，
• 扰乱正常运营，
• 恢复系统和文件的财务损失，以及
• 对组织声誉的潜在损害。

支付赎金并不能保证加密文件会被释放；它只能保证恶意行为人收到受害者的钱，在某些情况下，还可以收到他们的银行信息。此外，解密文件并不意味着恶意软件感染本身已被删除。

解决方案

降低Petya恶意软件相关风险的建议步骤：

• 为2017年3月14日发布的MS17-010 SMB漏洞应用Microsoft补丁。
• 在连接到网络的每个系统上禁用SMBV1。有关如何禁用SMBV1的信息微软. 虽然许多现代设备在没有SMBv1的情况下可以正常运行，但一些较旧的设备可能会遇到通信或文件/设备访问中断。
• Microsoft建议阻止端口139/TCP和445/TCP上的所有通信以防止传播。微软还建议他们的用户也可以禁用远程WMI和文件共享。
• 隔离或保护无法从潜在网络剥削修补的弱势嵌入式系统。
• 将所有控制系统设备和/或系统的网络暴露降至最低，并确保无法从Internet访问这些设备和/或系统。
• 在防火墙后面定位控制系统网络和设备，并将其与业务网络隔离

推荐的最佳实践

• 启用强大的垃圾邮件过滤器以防止仿冒电子邮件到达最终用户，并使用发件人策略框架（SPF）、域邮件身份验证报告和一致性（DMARC）和域密钥标识邮件（DKIM）等技术在绑定的电子邮件中进行身份验证以防止电子邮件欺骗。
• 扫描所有传入和传出的电子邮件，以检测威胁，并过滤可执行文件，防止其到达最终用户。
• 确保反病毒和反恶意软件解决方案设置为自动执行定期扫描。
• 管理特权帐户的使用。实行最小特权原则。除非绝对需要，否则不应向任何用户分配管理权限。那些需要管理员帐户的人应该只在必要时使用它们。
• 配置访问控制，包括文件、目录和网络共享权限，并考虑最低权限。如果用户只需要读取特定的文件，那么他们不应该具有对这些文件、目录或共享的写访问权限。
• 禁用通过电子邮件传输的Microsoft Office文件的宏脚本。考虑使用Office Viewer软件打开通过电子邮件传输的Microsoft Office文件而不是完整的Office套件应用程序。
• 制定，研究所和实践员工教育计划，识别诈骗，恶意链接和企图社会工程。
• 定期对网络进行渗透测试。每年不少于一次。理想情况下，尽可能经常/实际。
• 测试备份以确保在使用时正常工作。

参考

• https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-Ransomware-Infections-Reported
• https://ics-cert.us-cert.gov/alerts/ics-ALERT-17-181-01
• https://ics-cert.us-cert.gov/alerts/ics-alert-17-181-01a.
• https://ics-cert.us-cert.gov/alerts/ics-alert-17-181-01b.
• https://ics-cert.us-cert.gov/alerts/ics-Alert-17-181-01C.
• https://www.us-cert.gov/ncas/current-activity/2017/03/16/microsoft-smbv1-vulneriability.
• https://technet.microsoft.com/library/security/ms17-010

联系信息

在美国，致电800-284-5101。在欧洲，拨打电话免费+ 800-7826-8888或直接+49 6131 324 185.您需要您的系统序列号。有关其他联系信息，请访问//www.zjhxrs.com/serviceandsupport/get-help/index.aspx#contact-support.