通知公告

通知公告 您当前的位置:首页 > 中心概况 > 通知公告

关于应对勒索病毒“Petrwrap”的通报

时间:2017-06-28 13:06:00         

关于应对勒索病毒Petrwrap的通报

 

北京时间201762721时左右,乌克兰境内发现大规模的勒索病毒感染事件,并迅速在全球范围内扩散,俄罗斯、西班牙、法国、英国、丹麦、印度、美国等多个国家已均受到不同程度的影响,涉及电力、轨道交通、石油、金融、电信等多个领域。目前该病毒尚未在我国大面积传播,但该勒索病毒影响范围广泛,造成后果严重,亟需引起高度重视。

一、基本情况

Petrwrap勒索病毒是2016 “Petya”勒索病毒的变种,经分析,该病毒采用邮件、下载器和蠕虫的组合传播方式来感染Windows主机,病毒首先利用CVE-2017-0199漏洞的RTF格式附件进行邮件投放感染,之后采用“WannaCry”勒索病毒传播的相同方式,利用 “EternalBlue”(永恒之蓝)MS17-010漏洞,结合系统弱口令的方式进一步传播感染未打补丁的 Windows 主机。“Petwrap”勒索病毒通过重启被感染的主机并加密磁盘驱动器内的主文件表(MFT),修改主引导记录(MBR),进而占用物理磁盘上的文件名、大小与位置信息以限制用户对系统的正常访问。且该病毒感染域控制器后能够提取局域网内主机口令,相较“WannaCry”勒索病毒,内网安全面临更大的威胁。

二、影响分析

我国在受到“WannaCry”勒索病毒严重影响后,已组织开展了大量的防护、应急工作,打下了良好基础,现阶段该病毒尚未在我国大面积传播。同时,经综合分析,该勒索病毒最初的爆发地点是乌克兰,具有地域性特点,且攻击对象为电力、金融、交通等涉及国计民生的重要领域,不排除这次事件是针对特定地区的定向攻击。

“Petwrap”勒索病毒目前仍在全球范围内各个领域广泛传播,其复合的传播手段具有较大安全风险,特别是内网等相对封闭的局域网环境为“Petrwrap”勒索病毒传播提供了有利条件,且当前仍有部分主机Windows系统没有修补MS17-010漏洞,或将受到严重影响。如不加以防范和控制,一旦受到攻击可能导致系统无法启动、重要设备和敏感数据被远程锁定,造成严重经济损失和不良社会影响。

三、应对措施

1. 提防钓鱼邮件,遇到携带不明附件和不明链接的邮件不要轻易点击,尤其是rtfdoc等格式文件。

2. 如操作系统存在空口令或弱口令,及时更换高强度口令。内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。

3. 更新操作系统补丁(MS

https://technet.microsoft.com/en-us/library/security/ms17 -010.aspx 

4. 更新 Microsoft Office/WordPad  远程执行代码漏洞(CVE -2017-0199)补丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx 

5. 禁用 WMI服务

https://zhidao.baidu.com/question/91063891.html

6. 一旦发现感染PETYA勒索软件的情况,立即断网隔离并上报。

               网络信息中心

               2017年6月28日