病毒通告:RANSOM_PETYA.SMA 病毒透過微軟弱點或釣魚郵件進行感染,請勿開啟任何可疑的郵件並提高警覺!
2017/06/29
風險等級: 高度威脅
摘  要:

最新勒索病毒PETYA,與 WannaCry病毒一樣皆使用微軟MS17-010 – Eternalblue 的弱點進行攻擊,在歐洲已經造成災情。經分析顯示,Petya 另一個攻擊管道為其駭客利用微軟官方的 PsExec 遠端執行工具,以進階持續性滲透攻擊 (Advanced Persistent Threat,APT攻擊)手法入侵。

HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

影響系統:
  • Windows
解決辦法:

盡速更新CVE-2017-0199與CVE-2017-0145弱點更新程式:
(1) CVE-2017-0199 更新patch file如下,敬請用戶自行確認主機版本與透過windows update 程式進行更新Microsoft Update
(2) 更新CVE-2017-0145(MS17-010)
(3) 關閉WMI (windows Management Instrumentation) 遠端安裝。
(4) 若感染此病毒可參考防毒廠商參考步驟:Trendmicro

細節描述:

該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。 並且還會搭配 EternalBlue 這個之前 WannaCry (想哭)勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統,就會利用 rundll32.exe 來執行其程式碼。 其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat 」的檔案內。 接下來,勒索病毒會新增一個排程工作,讓系統至少在一個小時之後就會重新啟動, 並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。 一開始,病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面,但其實就是病毒程式。 有別於一般勒索病毒的作法,該病毒並不會修改被加密檔案的副檔名。 它可加密的檔案類型超過 60 多種,但其主要目標為企業環境常用的檔案,至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。

HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

參考資訊: Trendmicro blog (2017/06/28)
Trendmicro (2017/06/29)