國際中心/綜合報導
勒索病毒捲土重來?歐洲多個國家27日陸續遭到大規模網路攻擊,受害者包括烏克蘭政府、烏克蘭銀行體系、俄國石油(Rosneft)、航運巨頭快桅集團(A.P. Moller Maersk)等都傳出遭到大規模攻擊。初步認為,這波網攻有如先前肆虐全球的「WannaCry」病毒,同樣屬於勒索病毒。
綜合外媒報導,這波勒索病毒被稱做「佩提亞」(Petya),又被稱做「Petrwrap」。烏克蘭率先傳出遭大規模攻擊,包括重要政府機關、銀行、電力系統都中招,就連車諾比輻射監控系統都受到影響。
烏克蘭副總理羅琴科(Pavlo Rozenko)說,目前中央政府的電腦系統已經停擺,他補充說,攻擊規模前所未有,但我們的資安人員正設法保護重要戰略設施,「沒有重要系統受到影響」。據了解,烏克蘭各地的傳出網攻,包括地鐵站、機場等。
另外,俄羅斯石油公司和丹麥的快桅航運集團(又譯馬士基),都表示內部電腦系統遭到駭客擾亂。快桅集團表示,「證實資訊系統受到網攻,多個網站、部門大規模停擺」。
其他國家方面,包括英國的大型廣告公司WPP、西班牙食品大廠「 Mondelez」、荷蘭船運公司「TNT」、法國建材公司「St Gobain」都傳出遭到不同程度的攻擊。就連美國製藥公司默克(Merck)和英國地方律師事務所「DLA Piper」也受影響。
資安專家分析,佩提亞病毒過去就已經存在,不過這次蔓延的新版本,可能是利用和先前「WannaCry」病毒一樣的微軟Windows作業系統漏洞。「WannaCry」病毒5月份肆虐全球,約在150個國家造成不同程度災情。
應該如何準備
Sophos 已經意識到今天在多個國家看到新的 ransomware 變體。我們的調查顯示,這種攻擊可以加密文件和主引導記錄(MBR),並且可以使用多種技術快速傳播,包括 Windows 電腦使用的 Windows Server 消息塊(SMB)服務中的漏洞的 “EternalBlue” 在本地網絡上共享文件和打印機。 Microsoft 在其 MS17-010 公告中解決了此問題。它也可以通過使用Microsoft PsExec 工具的變體與來自目標電腦的管理員憑據相結合來傳播。
使用 Sophos Endpoint Protection 的客戶可以保護這種 ransomware 的所有已知變體。Sophos 於 6月27日13時50分 在UTC發布了保護措施,並提供了一些更新,為未來的變種提供了進一步的保護。
此外,使用Sophos Intercept X 的客戶從這種新的 ransomware 變體出現之時就主動保護了沒有加密的數據。然而,客戶可能需要採取進一步措施,重新啟動受感染的電腦。
防禦措施
我們的建議:
- 確保系統具有最新的修補程序,包括 Microsoft MS17-010 公告中的補丁。
- 考慮阻止 Microsoft PsExec 工具在用戶的計算機上運行。該工具的一個版本被用作Petya自動傳播的另一種技術的一部分。您可以使用 Sophos Endpoint Protection 等產品來阻止它。
- 定期備份,並保留最近的備份副本。除了ransomware之外,還有幾十種方式,文件可能會突然消失,例如火災,洪水,盜竊,丟失的筆記本電腦甚至意外刪除。加密您的備份,您不必擔心備份設備落入錯誤的手中。
- 避免在您不了解的收件人的電子郵件中打開附件,即使您在人力資源或帳戶中工作,並且在您的工作中使用附件。
- 下載 Sophos Intercept X 的免費試用版,對於家庭(非業務)用戶,可以註冊免費的 Sophos Home Premium Beta,通過阻止對硬盤上的文件和扇區的未經授權的加密來防止 ransomware。
要避免通過電子郵件潛入的網絡攻擊,請參閱:
- 為了防範一般的ransomware,請參閱Sophos的文章 如何保護被 ransomware 威脅
- 要更好地了解網絡釣魚,請閱讀 Sophos的文章
- 為了防止JavaScript附件,請告訴 Explorer 使用記事本 打開.JS文件
- 為了防止誤導性的文件名,請告訴 Explorer 顯示 文件擴展名
- 要了解有關ransomware的更多信息,請聽Sophos的Techknow播客
- 為了保護您的朋友和家人免受ransomware,請嘗試 Sophos的免費版Home for Windows和Mac
官方網文:
https://community.sophos.com/products/b/sophos-community-blog/posts/new-disk-encrypting-ransomware
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
ETNEWS:
https://www.ettoday.net/news/20170628/954658.htm