與WannaCryptor相似的新勒索病毒攻擊全球:網民須知

下一個故事

最新消息(中歐標準時間6月28日15:00時):ESET研究人員已確認,後續染毒系統通過VPN訪問烏克蘭網絡。目前尚無跡象表明,該惡意軟件具有向局域網之外傳播的內在機制。

最新消息(中歐標準時間6月27日23:34時):關閉計算機、不再開機能夠防範硬盤被加密,但主引導記錄被覆蓋後,可能已有部分文件被加密,並嘗試藉助網站進一步傳播病毒。

最新消息(中歐標準時間6月27日22:28時):由於運營商已關閉發送比特幣錢包帳戶的電郵地址以及個人安裝密鑰,現已無法向勒索者付款。鑑此,受害者切勿繳納贖金,因爲已無法獲取解密密鑰。

最新消息(中歐標準時間6月27日21:20時):ESET研究人員已找到此次全球性病毒大爆發的源頭。攻擊者已成功滲透會計電算化軟件M.E.Doc,一款在烏克蘭境內各行各業廣泛使用的電算化軟件,含金融機構在內。有幾家公司執行了已被植入木馬的M.E.Doc更新程序,使攻擊者能夠在今日發起大規模勒索病毒攻擊,並迅速席捲烏克蘭全境及世界各地。今天,M.E.Doc開發商已在其官網發表了預警公告。

社交網站上頻現烏克蘭遭受新勒索病毒攻擊的大量報道,據信該勒索病毒與Petya病毒家族有關(後續認定,目前ESET檢測爲Win32/Diskcoder.C木馬)。一旦其成功感染主引導記錄,便會加密整個硬盤。否則會加密全部文件,與Mischa如出一轍。

傳播機制方面,該勒索病毒採用了綜合手法,首先像WannaCryptor那樣,利用服務器信息塊漏洞(永恆之藍)滲透進網絡,然後藉助PsExec在網絡內部肆意傳播。

運用這一極度危險的綜合機制,很可能是繼近期勒索病毒大爆發、成爲新聞媒體頭條之後,雖然多數計算機可能已打補丁,但該病毒爆發後仍能全球性傳播的原因所在。成功滲透進網絡,只需藉助一臺未打補丁的計算機即可。此後,該病毒便會接管管理員權限,並向其他計算機傳播。

記者Christian Borys等人在Twitter中稱,此次網絡攻擊疑似已令銀行、電力和郵政公司等企業蒙受損失。此外,政府機關也淪爲受攻擊對象。Borys還在推文中刊出,由烏克蘭副總理Pavlo Rozenko在Facebook上發佈的一幅截圖,顯示某臺計算機明顯已被加密。

烏克蘭國家銀行也在其官網上發佈了一則信息,警告其他銀行可能遭遇勒索病毒攻擊。

該信息稱:“目前,金融行業已加強安全措施,遏制黑客針對金融市場全體參與者展開攻擊。”

福布斯稱,雖然該勒索病毒與WannaCryptor具有相似之處 – 但仍有人表示該病毒只是藉助了WannaCry的滲透機制 – 本身很可能是Petya的變種。

據報道,與WannaCryptor受害者所見到的一幅相類似畫面之中,刊登了勒索病毒藉助網絡傳播的敲詐信息。由Group-IB小組發佈的一張截圖中顯示的敲詐信息如下:

“看到此提示之時,你的文件已無法繼續訪問,因爲它們均已被加密…我們保證,你可以安全、輕鬆地恢復你的所有文件。只需匯款(300美元比特幣),購買解密密鑰即可解密。”:

然而,有發言人稱:“並未對電力供應造成影響”,雖然目前確定這一點爲時尚早。

該勒索病毒攻擊並非僅限於烏克蘭境內。據《獨立報》稱,西班牙和印度可能已受到影響,同時丹麥海運公司Maersk以及英國廣告公司WPP也已蒙受損失。

後者的主頁上,刊登了以下公告:“WPP網站因重要常規維護目前無法使用,服務不久後將會恢復正常。

“我們對此給您造成的不便深感歉意。在此期間,如您希望聯絡WPP,請按照以下地址電郵網站編輯…”

WPP此後在推特上確認已遭受病毒攻擊:“多家WPP分公司的IT系統,遭受了疑似網絡攻擊。我們正在採取適當措施,並將儘快公佈最新進展。”

另有報道稱,公司正準備付款以解決攻擊問題,具體可參考此處的比特幣地址鏈接。 

有關Petya的詳細說明,請查閱2016年發佈的這篇頗具洞察力文章,其中論述了這一文件加密類勒索病毒的特點:

Petya運用了與其他文件加密類勒索病毒所不同的攻擊手段,目標不是逐一加密用戶文檔,而是針對文件系統。.

“攻擊目標是受害者計算機的主引導記錄(MBR),後者是開機後,負責加載操作系統的組件。”

爲便於您防範此類威脅,我們建議您:

1. 時常讓系統獲取完全修補程式(Patch);

2. 使用正規防毒軟件

3. 管理工作站和服務器時,勿使用相同的帳戶/密碼;

4. 禁用默認ADMIN$或系統管理級共享通訊功能 – 用戶可使用ESET Smart Security家庭版以及ESET Endpoint Security 6+商業版完成此項設置,這些軟件都具備網絡攻擊防護功能(選項:入侵檢測系統和高級選項>允許服務器信息塊中的系統管理級共享功能進站連接);

5. 儘可能禁用SMB1 – 無法識別SMB2+的XP和2003系統中所存在的問題。

本文爲即時發佈資訊,將隨後續信息更新。