2017年6月27日晚,烏克蘭�、俄羅斯、印度及歐洲多個(gè)國(guó)家遭遇Petya勒索病毒襲擊����,政府��、銀行�、電力系統(tǒng)����、通訊系統(tǒng)����、企業(yè)以及機(jī)場(chǎng)都不同程度受到了影響,國(guó)內(nèi)已有個(gè)別企業(yè)用戶(hù)疑似遭到攻擊�����。Petya勒索病毒利用Windows SMBv1漏洞進(jìn)行傳播感染���,采用新的加密方式�����,一旦感染可導(dǎo)致新的主引導(dǎo)記錄(MBR)加載勒索頁(yè)面��,并提示用戶(hù)支付300美金比特幣���,恢復(fù)非常困難。請(qǐng)各單位務(wù)必高度重視����,迅速組織力量對(duì)本行業(yè)��、本單位重點(diǎn)網(wǎng)站和重要信息系統(tǒng)開(kāi)展針對(duì)性安全排查��,采取必要措施消除安全漏洞隱患���。
一、漏洞的基本情況
此次病毒爆發(fā)使用了已知的Office/wordpad遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2017-0199)�,通過(guò)偽裝成求職簡(jiǎn)歷電子郵件進(jìn)行傳播,用戶(hù)點(diǎn)擊該郵件后釋放可執(zhí)行文件���,病毒在成功感染本機(jī)后形成初始擴(kuò)散源���,再利用永恒之藍(lán)漏洞在內(nèi)網(wǎng)中尋找打開(kāi)445端口的主機(jī)進(jìn)行傳播,使得病毒可以在短時(shí)間內(nèi)呈爆發(fā)態(tài)勢(shì)����,該病毒在感染后寫(xiě)入計(jì)算機(jī)的硬盤(pán)主引導(dǎo)區(qū),相較普通勒索病毒對(duì)系統(tǒng)更具有破壞性��。
二�、防范措施建議
1、及時(shí)更新系統(tǒng)和漏洞補(bǔ)丁��。及時(shí)更新操作系統(tǒng)補(bǔ)丁,補(bǔ)丁地址為https://technet.microsoft.com/en-us/library/security/ms17- 010.aspx�。更新Microsoft Office/wordpad遠(yuǎn)程執(zhí)行代碼漏洞(CVE- 2017-0199)補(bǔ)丁����,補(bǔ)丁地址為:https://technet.microsoft.com/zh-cn/ office/mt465751.aspx。
2���、禁用WMI服務(wù)��,關(guān)閉不必要的端口�����。一是禁用Windows系統(tǒng)下的管理控件WMI服務(wù)��。二是關(guān)閉計(jì)算機(jī)的445端口和135�����、137��、138�����、139等不必要開(kāi)放的端口����。三是加強(qiáng)網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)測(cè)、審計(jì)�,如發(fā)現(xiàn)大量掃描139、135�����、445端口的網(wǎng)絡(luò)異常行為���,及時(shí)定位掃描發(fā)起點(diǎn)���,應(yīng)立即阻斷網(wǎng)絡(luò)連接并進(jìn)行病毒查殺,防止感染擴(kuò)散����。
3、防范病毒偽裝成電子郵件����、文檔等形式傳播。一是不要輕易下載����、打開(kāi)電子郵件中的產(chǎn)品介紹���、求職簡(jiǎn)歷等附件文檔或文件,尤其是偽裝成rtf���、doc等格式的文件。二是不要運(yùn)行不可信的可執(zhí)行文件����。三是及時(shí)升級(jí)主機(jī)安裝的殺毒程序,在查看附件��、運(yùn)行程序前做到“先查殺��、后使用”�����。
