Slide
Slide
Slide
Hitachi_AI_HCI
Hitachi_HCI
HCI
previous arrow
next arrow

Petya突襲歐美浪捲全球 企業宜速採取自保對策

正當企業對WannaCry加密勒索軟件猶有餘悸,新一波攻擊已乘勢發動,且網絡攻擊事態正迅速擴大。

據悉,目前至少有9個歐洲國家成為攻擊目標,首次攻擊可能來自烏克蘭。烏克蘭政府方面已表示,機場以及地鐵系統已受到嚴重影響,甚至是車諾比的核子監測設施也出問題,故工作人員已改用手動操控,避免意外發生。有專家表示,此次攻擊用的不只是Entrenal Blue漏洞,即使已安裝微軟修補程式,仍有中毒的可能。

歐洲刑警組織執行主任Rob Wainwright公開,已正緊急應對歐洲企業發生的大規模勒索病毒攻擊。目前,已有許多商業巨頭表示受到影響,包括丹麥航運馬士基、俄羅斯能源巨頭Rosneft、法國建材公司Saint-Gobain,及英國廣告公司 WPP等都已成為目標。美國方面,藥廠龍頭Merck及跨國律師事務所DLA Piper等企業也是第一波被確認的受害者。據悉,本港亦有跨國公關公司張貼告示,勒令全體員工禁止啟動任何基於Windows的電腦,直止完成緊急應對為止,令員工大感束手無策。

Petya採EternalBlue漏洞發動攻擊

保安廠商卡巴斯基迅速回應,指新一輪加密勒索攻擊屬全球性攻擊,規模和破壞力不下於WannaCry,而且情況有惡化的趨勢。由於仍屬爆發初期,到底是新的加密勒索軟件還是Petya變種(Petya.A、Petya.D或PetrWrap),仍有待研究人員進一步分析,但已經確定攻擊頗為複雜,及涉及數個方向,而且採用經過修改的EternalBlue漏洞,在企業的網絡內傳播。

卡巴斯基方面指出,ExPetr / Petya的獨特之處,是會收集用戶的權限,然後向其他裝置傳播,當中使用了名為Mimikatz的工具,能夠從Isass.exe中盜取用戶的權限資料,然後把資料交給PsExec工具,或WMIC去在網絡中繼續傳播。其他感染的途徑包括:

  • 經修改的EternalBlue漏洞,同樣被WannaCry使用。
  • EternalRomance漏洞,透過TCP port 445,遠端執行Windows XP至Windows 2008 的漏洞(已在MS17-010修補程式中修復)。
  • 使用第三方軟件MeDoc攻擊更新機制。

惡意程式會在感染後的10至60分鐘後重新啟動系統,只要系統重新啟動,便會開始加密MFT和覆寫MBR,改為加密勒索的訊息。

自創檔案停止病毒感染過程

有不少研究人員著手研究這次病毒爆發,是否存在與WannaCry類似的 Killswitch。而上次利用Kill Switch成功遏制了WannaCry擴散的安全研究員 Matthieu Suiche則已表示,這次攻擊是個更致命的版本,並沒有Kill Switch機制。惟另一研究人員Serper則發現,ExPetr / Petya會搜尋本機的檔案,如果發現「特定檔案」已經存在,便會停止惡意加密的流程,該發現及後被其他研究人員確定。因此,只要用戶自行在裝置上創建該「特定檔案」,並設定成「唯讀」,便能誘騙病毒停止執行。

新加密勒索軟件的初期攻擊目標是烏克蘭、俄羅斯和西歐國家,現時卡巴斯基實驗室的產品,透過Kaspersky Security Network(KSN)偵測到該病毒,並建議用戶進行以下步驟:

  1. 確定Kaspersky Security Network和System Watcher功能已經開啟。
  2. 立即手動更新防毒軟件的資料庫,然後隔數小時後再更新一次。
  3. 為加強防護,用戶可以使用AppLocker功能,去關閉執行perfc.dat和PSExec 工具。
  4. 立即安裝所有Windows安全更新,尤其是堵塞 EternalBlue 漏洞的修補程式。

由於已進行安全更新的電腦也可能受影響,故應先離線再開機,然後立刻備份所有資料,才再連接上網。卡巴斯基並建議其他企業先進行離線備份,再在C:/Windows資料夾內,創建新檔案並命名「perfc」(無file extension及設成「唯讀」)。如此一來,即使網絡電腦被感染,加密也不會進行。

Leave a Reply

Your email address will not be published. Required fields are marked *