6月27日晚間，一波新的勒索病毒襲來。經(jīng)過跟進(jìn)分析，這次攻擊是Petya勒索病毒的新變種。該勒索病毒已在俄羅斯、英國、烏克蘭等在內(nèi)的歐洲多個國家迅速蔓延，國內(nèi)也已出現(xiàn)傳播案例。

經(jīng)過分析，該樣本與之前收到廣泛關(guān)注的WannaCry病毒相似，同樣利用了MS17-010（永恒之藍(lán)）漏洞進(jìn)行傳播。Petya勒索變種成功執(zhí)行后，首先會嘗試?yán)寐┒磳⒆陨韽?fù)制在遠(yuǎn)程計算機(jī)下的C:\Windows目錄中。但由于先前WannaCry的傳播使廠商及用戶進(jìn)行了防范升級，該變種在傳播途徑上采取了郵件、下載器和蠕蟲等多種組合傳播方式以加快傳播，其中使用了WMIC、PsExec等管理工具。

其中WMIC擴(kuò)展WMI（Windows Management Instrumentation，Windows管理工具），提供了從命令行接口和批命令腳本執(zhí)行系統(tǒng)管理的支持。PsExec 是一個輕型的 telnet 替代工具，它使您可執(zhí)行其他系統(tǒng)上的進(jìn)程，并且可以獲得與控制臺應(yīng)用程序相當(dāng)?shù)耐耆换バ浴MIC和PsExec廣泛被系統(tǒng)管理員，IT運(yùn)維人員使用。

勒索樣本通過釋放一個臨時文件 *.tmp，該臨時文件為windows賬戶信息（用戶名，密碼）竊取工具，該黑客工具能獲取到中毒計算機(jī)存儲的登錄其他系統(tǒng)和服務(wù)的用戶名、密碼，并將其傳送給母體。

勒索樣本利用獲取到登錄其他系統(tǒng)的用戶名密碼，枚舉網(wǎng)絡(luò)上的計算機(jī)，復(fù)制自身到網(wǎng)絡(luò)計算機(jī)上，并嘗試使用WMIC命令，在遠(yuǎn)程機(jī)器啟動惡意DLL 

同時勒索樣本也會嘗試使用本身釋放的PsExec.exe控制網(wǎng)絡(luò)中其他計算機(jī)，以達(dá)到傳播自身的目的。

其中，無論是WMIC方式還是PsExec方式，如果獲取到的用戶信息不屬于Administrator，該病毒都不可以實現(xiàn)傳播。

綜上分析，一旦擁有管理權(quán)限的域控制服務(wù)器被最新Petya變種攻陷，域控制服務(wù)器管理的計算機(jī)都會面臨被感染的風(fēng)險。

騰訊反病毒實驗室建議

1、 除非真正需要，不要隨意給用戶開設(shè)管理員權(quán)限。

2、  加強(qiáng)對域控制服務(wù)器的安全防護(hù)，更新補(bǔ)丁。

3、 加固策略，禁止域控管理員帳號登錄終端。

4、禁止使用域控管理員等高權(quán)限帳號運(yùn)行業(yè)務(wù)服務(wù)，避免域控帳號泄露。

5、終端網(wǎng)絡(luò)屏蔽非必要來源的入站445和135端口請求。

      

騰訊電腦管家可以成功攔截該勒索病毒，并針對該類型病毒開發(fā)了免疫工具，保證用戶免受危害，用戶可以前往騰訊電腦管家官網(wǎng)下載電腦管家和勒索病毒免疫工具。

WannaCry與Petya等勒索病毒以及變種的相繼出現(xiàn)和爆發(fā)，表明目前對抗勒索病毒的形式嚴(yán)峻，任重道遠(yuǎn)，在保護(hù)用戶數(shù)據(jù)安全的戰(zhàn)場上，騰訊反病毒實驗室會時刻戰(zhàn)斗在最前線，同時也呼吁全行業(yè)可以協(xié)同作戰(zhàn)，讓勒索病毒無所遁形。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。