关于防范Petya勒索病毒及其变种Petwarp的紧急通知

各有关单位

627,据相关机构通报,Petya勒索病毒及其变种Petwarp对乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国进行攻击,政府、银行、电力系统、通讯系统、企业及机场都不同程度地受到了影响,部分欧洲驻我国分支机构也被感染。现将有关情况通知如下:

一、病毒情况

Petya勒索病毒对硬盘驱动器主文件表(MFT)进行加密,使主引导记录(MBR)不可操作,以占用物理磁盘上的文件名、大小和位置信息,限制对完整系统的访问,从而让电脑无法正常启动。被感染电脑若需恢复,需支付价值300美元的比特币。该病毒影响范围包括Windows XP及以上版本的操作系统。

经相关机构对部分病毒样本初步分析发现,此次攻击的勒索病毒是Petya的新变种Petwarp。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式,采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。分析表明,该病毒可能具有感染域控制器后提取域内机器口令的能力。

二、防范措施

本次Petya勒索病毒利用的并非0DAY1DAY漏洞,而是利用的陈旧漏洞,其传播方式也是利用类似弱口令/空口令此类基本配置问题。这些问题说明,系统策略加固和及时的漏洞补丁升级,是保证安全的必要手段。

1.邮件防范。带有不明附件的邮件请勿打开,收到的不明链接请勿点击;

2.更新补丁。一是更新操作系统补丁(MS),地址:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

二是 更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁,地址:https://technet.microsoft.com/zh-cn/office/mt465751.aspx

3.禁用WMI服务。禁用操作方法:https://zhidao.baidu.com/question/91063891.html

4.更改空口令和弱口令。如操作系统存在空口令或弱口令的情况,请及时将口令更改为高强度的口令。

5.使用各网络安全公司提供的针对“永恒之蓝”病毒的免疫工具。

如已感染该病毒,建议重新安装系统,更新补丁、禁用WMI服务、使用免疫工具进行免疫。如有重要文件被加密,已开启Windows自动镜像功能的,可尝试恢复镜像,或等待后续可能出现的解密工具。

山东科技大学网络与信息中心

2017年6月29日

 

更新时间:2017-06-29 点击 6817 分享:

网络公告
关于防范Petya勒索病毒及其变种Petwarp的紧急通知 17-06-29
关于Chinaunicom WLAN停止运营的公告 16-11-22
关于山海花园小区宽带网络维修服务电话变更的说明 16-06-12
关于广电宽带用户访问校园网资源的说明 16-05-20
关于青岛校区教职工公寓网络融合改造情况的说明 16-03-17
公寓宽带网上缴费 15-06-01
关于前一段时间网络异常情况的通告 13-11-22
关于邮件系统启用强密码策略的通知 13-11-19
关于简化学生公寓入网申请流程的通知 13-11-04
关于研究生公寓区部分楼宇单元网络中断的公告 12-12-18
假期学生公寓网络使用注意事项 12-07-09
关于测试校园网新增出口链路及广域网缓存加速设备的公告 12-04-27
MORE..
相关新闻