一、事件背景

北京時間6月27日晚間，據(jù)國外媒體HackerNews爆料，一種類似于“WannaCry”的新型勒索病毒席卷了歐洲，烏克蘭境內(nèi)地鐵、電力公司、電信公司、切爾諾貝利核電站、銀行系統(tǒng)等多個國家設(shè)施均遭感染導(dǎo)致運行異常。該病毒為“Petya”變種病毒，通過郵箱附件傳播。另據(jù)烏克蘭CERT官方消息稱，郵箱附件被確認(rèn)是該次病毒攻擊的傳播源頭。該勒索病毒在全球范圍內(nèi)爆發(fā)，受病毒侵襲的國家除了烏克蘭外，還有俄羅斯、西班牙、法國、英國以及歐洲多個國家，后續(xù)不排除會繼續(xù)蔓延到包括中國在內(nèi)的亞洲國家。

二、病毒分析

經(jīng)過銳捷安全產(chǎn)品事業(yè)部的取證研究，這次攻擊是勒索病毒“Petya”的變種，病毒傳播過程利用到windows的兩個漏洞。第一步是利用CVE-2017-0199漏洞發(fā)送郵件，將病毒添加在office附件里，PC一旦打開附件，第一個傳播的源頭被感染成功。第二步是通過MS17-010（永恒之藍(lán)）漏洞和系統(tǒng)弱口令進(jìn)行傳播。漏洞的詳細(xì)利用情況如下：

漏洞一：CVE-2017-0199漏洞

漏洞說明：CVE-2017-0199允許攻擊者利用此漏洞誘使用戶打開處理特殊構(gòu)造的Office文件在用戶系統(tǒng)上執(zhí)行任意命令，從而控制用戶系統(tǒng)。

利用方法：利用該漏洞，黑客可以將勒索軟件的代碼嵌入了office文檔中，例如word、PPT、Excel等，作為附件偽裝成求職、廣告等通過電子郵件傳播。用戶收到經(jīng)過偽裝的郵件后，一旦打開，勒索病毒釋放成可執(zhí)行文件。

漏洞二：MS17-010（永恒之藍(lán)）SMB漏洞

漏洞說明：MS17-010（永恒之藍(lán)）SMB漏洞是今年4月方程式組織泄露的重要漏洞之一。“永恒之藍(lán)”利用Windows SMB遠(yuǎn)程提權(quán)漏洞，可以攻擊開放445 端口的 Windows 系統(tǒng)并提升權(quán)限。

利用方法：首先，TCP 端口 445是在Windows 系統(tǒng)中提供局域網(wǎng)中文件或打印機(jī)共享服務(wù)，黑客嘗試與電腦445端口建立請求連接，一旦連接成功，就能夠獲得局域網(wǎng)內(nèi)共享的文件或信息。通過第一個漏洞感染的第一臺PC繼而利用MS17-010（永恒之藍(lán)）SMB漏洞感染局域網(wǎng)中開放445端口的所有PC。

本次勒索病毒覆蓋的終端是windows XP級以上操作系統(tǒng)，電腦、服務(wù)器感染這種病毒后會被加密特定類型文件，導(dǎo)致系統(tǒng)無法正常運行。不同于傳統(tǒng)勒索軟件加密文件的行為，“Petya”是一個采用磁盤加密方式，加密成功后，會顯示勒索信息的界面，如果受害者不支付贖金，根本無法進(jìn)入系統(tǒng)。

被加密后的勒索信息

三、安全建議

1、 惡意郵件防范

該勒索軟件首次傳播是通過郵件進(jìn)行的，故此，遇到攜帶不明office附件和不明鏈接的郵件請勿點擊附件。

2、 針對CVE-2017-0199、MS-17-010兩個漏洞及時安裝漏洞補(bǔ)丁

（CVE-2017-0199) RTF漏洞補(bǔ)丁地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

S17-010（永恒之藍(lán)）漏洞補(bǔ)丁地址：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

3、 禁用WMI服務(wù)

https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx

4、 防火墻防護(hù)

銳捷網(wǎng)絡(luò)已更新防護(hù)特征庫，如果您是銳捷全新下一代防火墻產(chǎn)品的用戶，請及時更新到如下版本：病毒樣本庫：49.00830； IPS特征庫：11.00168

四、總結(jié)：

回顧“Petya”變種病毒和“wannacry”事件，勒索病毒所使用的手段并不是非常高級的攻擊方法，利用的漏洞也并非0-day漏洞，而是微軟早已發(fā)布通告的已知漏洞，傳播的關(guān)鍵因素在于電腦或服務(wù)器存在未及時更新的漏洞和弱口令。因此，企業(yè)和個人都應(yīng)認(rèn)真思考安全體系建設(shè)的基礎(chǔ)工作，個人電腦應(yīng)及時安裝操作系統(tǒng)補(bǔ)丁，拒絕弱口令并定期更換密碼，遇到不明確的郵件不要輕易打開。企業(yè)用戶應(yīng)在網(wǎng)絡(luò)邊界部署可以及時提供相應(yīng)特征庫和防護(hù)策略的安全設(shè)備，盡早開啟防護(hù)策略并及時更新特征庫。防患于未然，做好安全，企業(yè)才能更好地發(fā)展。