昨天，烏克蘭遭受大規(guī)模網(wǎng)絡(luò)攻擊，其多家銀行和公司，以及烏克蘭首都較大的機(jī)場(chǎng)的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)問(wèn)題。據(jù)Symantec安全公司分析，此次攻擊中出現(xiàn)的Petya勒索病毒，同樣利用了NSA Eternal Blue漏洞。PT Security發(fā)現(xiàn)了阻止Petya勒索病毒運(yùn)行的Kill Switch，US-Cert及綠盟科技等多家機(jī)構(gòu)發(fā)布預(yù)警通告。

當(dāng)?shù)貢r(shí)間27日烏克蘭遭遇攻擊

據(jù)報(bào)道, 政府大樓里的電腦也都離線了。該國(guó)的副首相,Pavel Rozenko在 facebook 上發(fā)布了一張電腦圖片，顯然電腦啟動(dòng)出現(xiàn)問(wèn)題了。

“知道嗎，我們的網(wǎng)絡(luò)似乎也在慢下來(lái)!這張照片是在所有的內(nèi)閣電腦屏幕上, “

基輔當(dāng)局告訴文傳電訊社烏克蘭通訊社。安全部隊(duì)說(shuō), 情報(bào)部門(mén)正在調(diào)查網(wǎng)絡(luò)攻擊。

“計(jì)算機(jī)在政府大樓里不起作用,”

烏克蘭國(guó)家銀行表示, 銀行和其他金融機(jī)構(gòu)已經(jīng)對(duì)此次襲擊事件發(fā)出警告。TV and radio的首席執(zhí)行官萊克絲說(shuō), 24 頻道已經(jīng)受到攻擊, 其部分計(jì)算機(jī)設(shè)備受到影響。

Symantec證實(shí)Petya勒索病毒 同樣利用了NSA Eternal Blue漏洞

據(jù)稱(chēng), 攻擊中使用了一種勒索病毒。有一個(gè)截圖張貼在媒體公司的網(wǎng)站上, 要求發(fā)送300美元的比特幣到某個(gè)地址。

Nova Poshta (新郵件) 交付和物流公司在 facebook 發(fā)布聲明稱(chēng), 他們已經(jīng)受Petya.A病毒的影響 。來(lái)自Symantec的消息稱(chēng)，Petya勒索病毒，如同 Wannacry勒索病毒 一樣，同樣利用了NSA Eternal Blue 漏洞，而這個(gè)情況也證實(shí)了之前多位專(zhuān)家的擔(dān)憂(yōu)，到底還有多少個(gè)攻擊者在利用NSA泄露出來(lái)的漏洞及工具。

PT Security發(fā)現(xiàn)Petya勒索病毒的Kill Switch

該安全公司聲稱(chēng)，找到了阻止Petya勒索病毒運(yùn)行的辦法，在本地目錄中創(chuàng)建文件 “C:\Windows\perfc”

• 1.If the evil DLL name is “name.ext” (eg: perfc.dat), you need to create file: “C:\Windows\name” (without ext)
• 2. “Kill switch” will work, if Petya has already gained SeDebug<…> privileges.

烏克蘭遭受大規(guī)模網(wǎng)絡(luò)攻擊

Borispol和基輔機(jī)場(chǎng)的本地計(jì)算機(jī)網(wǎng)絡(luò)遭受到破壞，在庫(kù)奇馬網(wǎng)站上，到達(dá)和離開(kāi)都顯示離線。機(jī)場(chǎng)官員說(shuō)，航空導(dǎo)航系統(tǒng)正在毫無(wú)延誤地工作，飛機(jī)能夠準(zhǔn)時(shí)到達(dá)和起飛。

美國(guó)Cert發(fā)布預(yù)警通告

US-CERT已收到Petya勒索病毒染全球的多個(gè)報(bào)告。勒索軟件是一種惡意軟件感染的計(jì)算機(jī)和限制用戶(hù)訪問(wèn)受感染的機(jī)器，強(qiáng)迫受害者支付贖金來(lái)解鎖。建議個(gè)人和組織不要支付贖金，因?yàn)檫@不能保證恢復(fù)訪問(wèn)。另外，使用未打補(bǔ)丁的和不支持的軟件，可能會(huì)增加的網(wǎng)絡(luò)安全威脅擴(kuò)散的風(fēng)險(xiǎn)，如勒索軟件發(fā)起的攻擊。

Petya勒索病毒加密感染W(wǎng)indows計(jì)算機(jī)的主引導(dǎo)記錄，使受影響的機(jī)器無(wú)法使用。開(kāi)放源碼的報(bào)告表明， 勒索軟件利用服務(wù)器消息塊（SMB）的漏洞。US-CERT建議用戶(hù)和管理員再次回顧 微軟smbv1漏洞 問(wèn)題，以及微軟安全公告ms17-010 。同時(shí)，我們也給出建議，如何較好地防止勒索感染，請(qǐng)參考 ta16-091a 。

綠盟科技發(fā)布預(yù)警通告

該P(yáng)etya變種病毒還具備蠕蟲(chóng)傳播特征，目前有證據(jù)表明其蠕蟲(chóng)功能利用了永恒之藍(lán)（EternalBlue）漏洞，同時(shí)結(jié)合今年4月份曝出的Office 0day漏洞（ CVE-2017-0199 ），通過(guò)惡意RTF文件進(jìn)行釣魚(yú)攻擊，此外結(jié)合綠盟科技安全事件響應(yīng)團(tuán)隊(duì)以往對(duì)此類(lèi)病毒的應(yīng)急處理經(jīng)驗(yàn)，其往往還會(huì)通過(guò)多種應(yīng)用弱口令進(jìn)行自動(dòng)化攻擊，例如：RDP、WEB中間件、數(shù)據(jù)庫(kù)等。

臨時(shí)防護(hù)方案

1. 及時(shí)更新終端安全防護(hù)軟件及Windows安全補(bǔ)丁，重點(diǎn)檢查MS17-010補(bǔ)丁安裝情況
2. 利用威脅分析系統(tǒng)（TAC)檢測(cè)通過(guò)網(wǎng)頁(yè)、郵件或文件共享方式試圖進(jìn)入內(nèi)部網(wǎng)絡(luò)的惡意軟件
3. 及時(shí)告知終端用戶(hù)盡量避免打開(kāi)未知郵件中的鏈接或附件，謹(jǐn)慎從網(wǎng)絡(luò)下載各類(lèi)可執(zhí)行程序

烏克蘭不平靜

據(jù)稱(chēng)，在2016年12月，安全公司發(fā)現(xiàn)惡意軟件被用于攻擊烏克蘭變電站，當(dāng)時(shí)綠盟科技曾發(fā)布分析報(bào)告稱(chēng)， 攻擊者是Telebots組織 。在2017年，ESET公司發(fā)現(xiàn)該惡意軟件，并將其命名為Industroyer。隨后，該公司發(fā)布了分析報(bào)