BLOG SECTION

Petya最新變種須知

最近發生的全球網路攻擊,ESET將其檢測為Win32/Diskcoder.C,而這再次凸顯出過時的系統和不足的安全解決方案仍然普遍存在。
此次攻擊所造成的損失方面存在著許多疑問,ESET資安專家在這裡為您解答。
該病毒的特點是什麼?
  • 加密:只加密特定副檔名的檔,但也會嘗試加密MBR (Master Boot Record)。
  • 傳播:像蠕蟲一樣,他可以透過網路傳播並感染其他台電腦。
  • 利用漏洞:利用了尚未更新和安裝安全更新的電腦中所存在的漏洞。
是否與WannaCryptor具有同樣強的破壞力?
兩者感染後的後果相同,使用者無法讀取系統中存儲的資料。但Diskcoder.C不僅僅加密漏洞電腦上的檔案,更在系統重啟後,使作業系統無法載入,迫使受害者重新安裝系統。
與WannaCryptor傳播方式相同嗎?
部分相同,但不盡然。雖然兩者都利用了美國國家安全局的漏洞入侵工具-永恆之藍,但Win32/Diskcoder.C還利用了其他傳播技術,通過濫用Microsoft Windows所供Sysinternals工具包中的PsExec等合法工具,以及Windows Management Instrumentation Command-line (WMIC)進行傳播;後者是為運行Windows作業系統的本地或遠端電腦提供的一種資料和功能管理資源。
與Mischa和Petya有何類似之處?
將這三種惡意程式家族歸為一類的主要原因,是因為它們除了加密作業系統之中的檔案資料外,還會通過加密MBR的方式,使作業系統無法運行。除這共通性以外,它們之間再沒多少相同之處,所採用的技術和處理機制各有不同。
該病毒的具體工作原理是什麼?
惡意程式運行後,首先會建立在特定時間之後重啟電腦的排程任務,通常不超過60分鐘。
此外,該病毒還會查看是否存在可以複製自身到共用資料夾或隱藏磁碟區。如果存在,則會利用WMIC在遠端設備上運行惡意程式。
接著,該病毒開始加密含有特定副檔名的檔案。需要強調的是,Win32/Diskcoder.C與多數勒索病毒不同,不會在加密每個檔後修改或添加特定副檔名;後者是攻擊者廣泛運用、區別染毒檔的方式之一。
下圖中,可以看到病毒試圖加密的檔案的副檔名:
此外,該病毒還試圖刪除事件日誌、不留下任何線索,並隱藏其行為。使用上述技巧執行命令列的畫面,如下圖所示:
如何傳播?
如上所述,傳播技術是該病毒的主要特徵。一旦成功感染電腦後,病毒會嘗試提取使用者帳戶和密碼,並配合PsExec和WMIC搜索共用資料夾和隱藏磁碟區,然後在通過電腦網路傳播。借助這種方式,便可感染位於其他國家和海外地區的電腦。
多數情況下,跨國公司團隊在通過同一網路連接位於歐洲或亞洲的其他分公司時,便會受到病毒感染。病毒的傳播機制與蠕蟲相同。
如何防範這一病毒?請參考以下五個建議:
1.使用專業可值得信賴的防毒軟體 (ESET NOD32)
在家用和工作電腦上安裝防毒軟體,確保定期更新系統。
需正確配置port,明確開放port及其開放原因 – 尤其是WMI和PsExec所使用的135、139、445和1025-1035 TCP port。

2.阻止EXE檔案
在資料夾%AppData%和%Temp%中阻止EXE執行,禁用預設ADMIN$帳戶與Admin$共用資料夾。可以的話禁用SMB v1。

3.監測網路狀態
確保網路配置正確、分級管理,時刻檢測網路流量並查找異常行為。

4.備份資料
找出電腦上的關鍵資料和資料,做好備份 – 將備份檔案離線儲存。一旦您的電腦不幸感染勒索病毒,可將資料資料回復到近期狀態。

5.密碼管理
必須認真管理密碼。如果不同管理中心統一使用同一密碼,一旦其中一台電腦染毒,便可洩露管理員帳戶和密碼,從而可導致整個網路染毒。作為防範措施,最好確保不同團隊和管理中心各自使用不同的密碼。
同時啟用【雙重身份驗證機制】(ESET雙重認證安全)也十分重要,因為它為驗證使用者身份的帳戶密碼提供了一道新增安全屏障。一旦某台設備不幸中毒,便能夠在病毒試圖獲取其他電腦管理許可權之時,阻止病毒在網路內部橫向傳播。
已染毒且無法訪問系統,怎麼辦?
可借助取證技術,嘗試在記憶體中運行另一作業系統,以讀取已加密檔。但除了恢復備份,可以避免重裝作業系統外,再沒有其他更好的解決途徑。
對於此病毒,繳交贖金是沒有任何意義的,ESET近期所作的TeleBots調查結果顯示,攻擊背後的疑似駭客團隊表示,Win32/Diskcoder.C並非常規意義上的勒索病毒。
雖然該病毒加密檔並索要300美元解密贖金,但攻擊者實際想要的效果 – 也正是他們的主要目標 – 就是造成損失。因此,他們竭盡全力,使資料幾乎不可能解密。
此外,該病毒還能夠運用自身惡意程式碼,修改MBR。但這種操作方式本身,使主引導記錄根本無法恢復。攻擊者根本無法提供解密金鑰,同時解密金鑰也無法輸入到勒索介面之中,因為所生成的密碼含有非法字元。
缺乏安全意識、公司教育訓練不足和相關網路安全技能缺乏,是造成檔案被勒索的主要原因之一。不幸的是,許多職員仍未意識到網路攻擊對公司經營帶來的潛在危害,直到淪為受害者、被勒索支付贖金,而此時也為時已晚。由於網路罪犯遇到的防禦水準較低,因此他們更有動力持續利用薄弱環節,開發出新的勒索病毒並成功執行攻擊,造成用戶損失。因此擁有資安危機意識是很重要的,預防措施永遠更勝於後續補救,ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體,抵禦網路攻擊或資安威脅,協助您打造良好的資安環境。

<如需要更多ESET防毒軟件資料, 請聯繫本公司+852-82025014 or info@t-plus.com>

新型加密勒索軟件「Petya」ESET NOD32 防毒軟件測試證實* 成功偵測並攔截「Petya」加密勒索軟件!

Details: http://www.eset.hk/html/86/petya-ransomware-what-we-know-now/

https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine/

早前的「WannaCryptor」加密勒索軟件弄得全城人心惶惶,當大家仍猶有餘悸,或是針對性地做好了一些防禦措拖,今天(2017年6月28日),一種新型的加密勒索軟件「Petya」向全球電腦用戶發出攻擊,首波遭受影響的包括烏克蘭國家銀行及電力公司。

您有將電腦更新嗎?但今次 Petya 除了做使用 SMBv1 漏動,更致命的是結合 Windows網絡安裝發動攻擊,如果您的電腦是採用相對簡單的登入密碼,「Petya」便會很容易攻破並執行指令,讓電腦無法使用。受害者如想解鎖硬碟,則需要向黑客支付 $300 美元的 BITCOIN。

「Petya」加密勒索軟件隔離法

  1. 切斷電腦的有線或無線上網
  2. 在離線的情況下,使用其他外置硬碟或USB記憶體進行備份
  3. 安裝各Windows版本的保安更新程式
  4. 安裝防毒軟件並更新病毒資料庫

 

原文出處:https://www.eset.com/us/about/newsroom/corporate-blog/petya-ransomware-what-we-know-now/

Petya病毒變種捲土重來!!!ESET防毒軟件已偵測並更新

 

ESET偵測到的“Petya”Ransomware,於2017年6月27日最近更新為PDT:3:10

根據路透社和多個其他消息來源,在烏克蘭開始的大規模新型加密病毒正在攻擊歐洲和美國並蔓延到其他國家。 一開始受到影響的是丹麥航運公司-馬士基和英國廣告公司-WPP。

這個加密病毒似乎與Petya家族有關,目前ESET已經將其檢測出病毒攻擊行為並歸類為Win32/Diskcoder.C Trojan。

如果您安裝了ESET產品,ESET可防範此威脅。此外,任何具有網路防護功能的ESET Security系列產品均可主動防範由SMB擴散的可能性。Petya攻擊的規模正在與最近的WannaCry爆發模式相當類似。ESET的研究人員已經掌握了這一個全球性流行的加密病毒的攻擊行為。Petya成功地破壞了在烏克蘭各行業,包括金融機構受歡迎的會計軟件M.E.Doc。有幾個人執行了常見特洛伊木馬病毒攻擊行為的偽造檔案,目前造成歐美目前爆發橫跨全國和全世界的大規模的病毒攻擊。 

【Petya攻擊行為模式】 

Petya惡意軟件攻擊電腦的MBR(主引導記錄),而MBP主要的功能是啟動系統的關鍵部分包含有關硬碟啟動磁區的資料,並有助於啟動操作系統。 

如果Petya成功感染MBR,它將對整個硬碟本身進行加密。 如果沒有它也會嘗試加密電腦內所有文件檔案,如同:Mischa


Petya似乎跟WannaCryptor使用同樣的EternalBlue漏洞進行網路連接,然後透過PsExec進行攻擊。


*請使用ESET的免費EternalBlue漏洞檢測工具檢查您的Windows系統是否已更新 


這種強大的攻擊模式可能是疫情迅速蔓延的原因,即使以前的疫情已經成為大家皆知頭條新聞,並且大多數漏洞應該已經被修補。 但是它只需要入侵一個未更新的電腦並進入網路就能開始散播。 惡意程式可以取得系統管理員權限並傳播到其他台電腦。

在烏克蘭,金融業,能源部門等多個行業受到攻擊。 對能源部門造成的損害範圍尚未得到確認,幸好目前沒有發生停電的情況,就像以前與ESET發現的臭名昭著的Industroyer惡意程式一樣。

 

據報告顯示被Petya ransomware攻擊成功的電腦,會顯示跟Group-IB同樣訊息,其中包含以下翻譯內容: 

“如果您看到這個訊息,那麼您的文件檔案不再可以讀寫,因為它們已被加密…我們保證您可以安全輕鬆地恢復所有文件檔案。 

您只需要做的就是付款$ 300比特幣購買解密密鑰。“

ESET資安專家建議五點:

1.使用專業且信譽良好的防毒軟件(ESET NOD32)並保持更新。(很基本但是非常重要,雖然作業系統本身具有內建防火牆功能,並不意味著它不需要防毒軟件 ) 

2.確認您已經安裝所有最新的Windows更新和修補程序。 

3.執行ESET的EternalBlue漏洞檢查工具,查看您的Windows電腦是否已經針對EternalBlue漏洞進行更新,並在必要時進行更新。

4.ESET家庭用戶:注意病毒碼是否更新到最新日期。 

5.ESET企業用戶:可以手動對所有用戶端電腦發送病毒碼更新工作或在用戶端電腦防毒軟件進行病毒碼更新

#欲知更多產品訊息:

企業用戶:http://www.eset.hk/business/endpoint-security/

個人用戶:http://www.eset.hk/home/

#欲購買產品:https://www.eset.hk/estore/

或致電ESET技術支援:(852) 2893 8186

 

*ESET檢測工具: 

ESET releases “EternalBlue Vulnerability Checker” to help combat WannaCry ransomware

https://www.eset.com/us/about/newsroom/press-releases/eset-releases-eternalblue-vulnerability-checker-to-help-combat-wannacry-ransomware/

 

Microsoft Surface Laptop

Microsoft Surface Laptop – 為大專生而設的手提電腦】
為咗令學生可以擁有美好嘅學習體驗,Microsoft將帶來性能超卓嘅手提電腦 – Surface Laptop!Surface Laptop採用全新Windows 10 S及第七代Intel® Core™ 處理器,電池續航力長達14.5小時,能夠快速運作,啱晒大專生開會同做功課用。特式鍵盤採用特級Alcantara® 面料,加埋大型精準嘅軌跡板和柔軟手枕,讓學生在使用鍵盤輸入時更精確敏銳及舒適。率先感受吓Surface Laptop嘅精美設計啦!

Microsoft Teams is the new chat-based workspace in Office 365. Keep all your content, tools, people, and conversations together in one place.

https://teams.microsoft.com/start

TOP