中新社北京6月29日电综合消息:被网络安全专家认为是“Petya”勒索病毒的计算机新病毒在全球发动新攻势。外媒统计称,已有60多个国家报告“中招”。
路透社报道称,这波计算机病毒27日开始从乌克兰扩散。乌克兰政府部门、中央银行、国家电力公司、能源公司、基辅机场、切尔诺贝利核事故隔离区监测系统、地铁、电信系统以及一些商业银行、自动提款机、加油站、大型超市均受影响。
代号为“Petya”的电脑勒索病毒27日袭击乌克兰,专家称情形与此前爆发的“WannaCry”勒索病毒相似。
新加坡《联合早报》称,截至29日,报告遭受病毒袭击的还有荷兰船运巨头马士基集团、全球最大的广告传播企业英国WPP集团、法国最大银行巴黎银行、俄罗斯央行和最大石油生产商Rosneft、美国制药公司默克集团、印度最大集装箱码头JNPT等。
英国《每日电讯报》援引微软公司的统计称,目前至少64个国家的12500台计算机感染了新勒索病毒。
俄罗斯卡巴斯基实验室的分析显示,此次病毒袭击受害者主要集中在乌克兰和俄罗斯,在北美也发生2000次攻击。
据报道,勒索病毒入侵计算机后,恶意代码会将文件加密锁定,要求支付300美元的比特币“赎金”才能解锁。这与上个月爆发的“WannaCry”(想哭)病毒的勒索方式类似,但传播速度更快,攻击性更强。
有网络安全专家分析说,很多计算机在“想哭”病毒来袭时及时修补了相关漏洞,新病毒造成的影响或会减小。但有专家反驳,新病毒由于使用更强大的清除软件,可能会造成数据丢失且难以恢复。
美国白宫国家安全委员会、美国国土安全部、法国国家信息系统安全中心、国际刑警组织均表示,正密切监视、调查分析这轮网络攻击。
27日,在乌克兰首都基辅,一家银行的自动柜员机显示:“抱歉,由于技术原因,无法存取现金”。 新华社/法新
欧洲刑警组织成立紧急协调小组,并提出五点“防毒”建议:及时更新应用程序以及操作系统;备份数据;利用有效的安全工具对计算机系统进行防护;不要在日常业务中使用具有管理员权限的账户;不要点击可疑的附件或链接。
相关报道:新勒索病毒国内未爆发 企业和个人仍须分别这么防范
中新网北京6月29日电(程春雨)27日,全球多个国家的网络遭到比5月爆发的Wannacry勒索病毒传播速度还快的Petya勒索病毒变种的攻击。中国目前则未出现遭大面积攻击的事件。腾讯反病毒实验室表示,经过跟进分析,这次攻击是Petya勒索病毒的新变种,为防范于未然,建议国内企业系统管理员不要随意给用户开设管理员权限等。
新勒索病毒席卷多国中国未现大面积感染
北京时间2017年6月27日晚,据外媒消息,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。
国外电脑安全专家认为,此次的病毒与今年5月波及全球的Wannacry勒索病毒传播方式有相似之处,但可能更危险、更难以控制。虽然专家已找到预防中毒的方法,但无法为已经中毒的电脑解锁。
不过来自腾讯安全最新披露消息,使用腾讯电脑管家“数据恢复U盘”的找回路径,已成功帮助感染用户找回部分文档。
腾讯电脑管家安全专家邓欣表示,此次病毒爆发源头开始于乌克兰,但受影响的不止乌克兰,不排除进一步扩散的可能性;目前,国内未现新勒索病毒大面积感染事件,另外相比于Wannacry,这次Petya传播手段更加多样化,而且可能还存在一些尚未发现的传播方式。
安全机构详解新勒索病毒攻击模式
经过分析,腾讯反病毒实验室表示,该病毒样本与之前收到广泛关注的Wannacry病毒相似,同样利用了MS17-010(永恒之蓝)漏洞进行传播。Petya勒索变种成功执行后,首先会尝试利用漏洞将自身复制在远程计算机下的C:Windows目录中。但由于先前Wannacry的传播使厂商及用户进行了防范升级,该变种在传播途径上采取了邮件、下载器和蠕虫等多种组合传播方式以加快传播,其中使用了WMIC、PsExec等管理工具。
新一轮超强电脑病毒正在包括俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延。
其中WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。PsExec 是一个轻型的 telnet 替代工具,它使您可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。WMIC和PsExec广泛被系统管理员,IT运维人员使用。
勒索样本通过释放一个临时文件*.tmp,该临时文件为windows账户信息(用户名,密码)窃取工具,该黑客工具能获取到中毒计算机存储的登录其他系统和服务的用户名、密码,并将其传送给母体。
勒索样本利用获取到登录其他系统的用户名密码,枚举网络上的计算机,复制自身到网络计算机上,并尝试使用WMIC命令,在远程机器启动恶意DLL。同时勒索样本也会尝试使用本身释放的PsExec.exe控制网络中其他计算机,以达到传播自身的目的。
其中,无论是WMIC方式还是PsExec方式,如果获取到的用户信息不属于Administrator,该病毒都不可以实现传播。
综上分析,一旦拥有管理权限的域控制服务器被最新Petya变种攻陷,域控制服务器管理的计算机都会面临被感染的风险。
外媒报道称,这轮病毒足以与五月席卷全球的勒索病毒的攻击性相提并论。
权威机构建议机构和个人分别这样防范
腾讯反病毒实验室给企业系统管理员提出建议:
一是,除非真正需要,不要随意给用户开设管理员权限。二是,加强对域控制服务器的安全防护,更新补丁。三是,加固策略,禁止域控管理员帐号登录终端。四是,禁止使用域控管理员等高权限帐号运行业务服务,避免域控帐号泄露。五是,终端网络屏蔽非必要来源的入站445和135端口请求。
而对于广大电脑用户,国家互联网应急中心昨日提出防护策略五点建议:
一是,不要轻易点击不明附件,尤其是rtf、doc等格式文件。二是,内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。三是,更新操作系统补丁(MS)。四是,更新MicrosoftOffice/WordPad远程执行代码漏洞(CVE-2017-0199)补丁。五是,禁用WMI服务。