路由器厂家
免费服务热线

Free service

hotline

010-00000000
路由器厂家
热门搜索:
成功案例
当前位置:首页 > 成功案例

你我华为全面解析PetrWrap勒索软件巧妙

发布时间:2021-09-16 18:16:40 阅读: 来源:路由器厂家

华为全面解析PetrWrap勒索软件、巧妙应对快准狠

北京时间6月27晚间,一款勒索软件席卷欧洲,其他国家和地区也有感染报告。据统计,英、法、美、德有超过2000个电脑受到感染,重灾区为乌克兰,其重要银行和政府首脑计算机遭到了该勒索软件的攻击。

业内很多安全厂商认为该勒索软件为Petya变体,并将其命名为 PetrWrap ,但也有安全厂商认为这是一款全新的勒索软件,比如卡巴斯基将该勒索软件命名为 ExPetr 。

攻击影响

一旦遭受攻击,该勒索软件会加密硬盘的MFT并修改MBR,然后在系统的定时任务中增加计算机重启任务。一段时间后,系统会自动重启。重启过程中,勒索软件会仿冒磁盘检查,并对磁盘进行加密操作。然后提示用户支付$300的比特币,否则无法正常使用系统。

攻击途径

经过华为未然实验室持续监测分析发现:勒索软件首先通过电子邮件感染内用户,具体方法是通过钓鱼邮件发送含有CVE-漏洞的RTF文档。当用户不小心打开该恶意文档后,用户电脑中便自动执行恶意代码,加载该勒索软件。

当该勒索软件登陆内部主机后,通过下面两种方法进行内的横向传播:

通过破解系统的弱口令进行传播;

利用 永恒之蓝 漏洞(MS)进行传播。

勒索软件传播示意图

华为教你四步应对法

1F不要打开可疑邮件

利用钓鱼邮件进行传播是勒索软件感染的一个常用方法,用户应加强安全意识,在任何时候,遇到来历不明的邮件,或携带不明附件和不明链接的邮件,请勿打开。

2F更改系统口令

为避免系统口令被破解,使用弱口令的用户应立即修改系统密码,设置高强度密码。

3F更新漏洞补丁

针CVE-漏洞,请及时更新如下补丁:

针对 永恒之蓝 (MS)漏洞,请及时更新如下补丁:

这1技术已广泛利用于化纤、薄膜、型材、管材、板材、线缆、复合挤出、造粒等生产线y/security/px

4F临时措施

关闭139,445端口,此前我们针对 WannaCry 已经提供过具体方法。

关闭WMI服务,步骤如下:

停止相应服务。

3. 设置KillSwitch。

有研究人员发现,该勒索软件也存在Kill Switch。该勒索软件在运行时,首先会搜索某个本地文件,如果该文件存在,则退出加密过程。用户只需要在c:\windows目录下创建明文 perfc 的文件,并将其权限设置为 只读 即可。

已经有安全专家为户写好了脚本:

https://downlo1、 18332.2⑵001《电动路途车辆用金属氢化物镍蓄电池规范穿刺实验》常见万能材料实验机的种类

事后应对,不如防患于未然

基于传统的以防御为中心的安全防护体系已不能有效防御未知威胁,针对勒索软件仅仅依靠签名的更新也是不够的,因此需要建设以未知威胁检测为核心的安全防御体系。

<“国家新材料产业发展领导小组”成立p>华为安全精准检测未知威胁

华为FireHunter6000沙箱通过病毒扫描、信誉扫描、静态分析和虚拟执行等技术,以及独有的行为模式库技术,根据情况分析给出精确的检测报告,实现对未知恶意文件的检测。配合其他安全设备,能快速对高级恶意文件进行拦截,有效避免未户。

50+文件类型检测,全面识别未知恶意软件;

4重纵深检测,准确性达99.5%以上;

秒级联动响应,快速拦截未知恶意软件。

此次勒索软件借助两个重要漏洞进行传播:CVE-和MS,这两个漏洞均为已知漏洞,华为安全产品可以有效检测携带CVE-利用代码的恶意文档和针对MS漏洞利用的蠕虫感染流量。

通过还原邮件流量并将提取出的邮件附件送检,华为FireHunter6000沙箱可以有效捕获邮件附件中的恶意RTF文档,并识别其中如Petya勒索软件及可疑的络通讯活动:

华为用户如何获取防护能力?

华为入侵防御相关产品亦可检测针对CVE-和MS漏洞的攻击,请用户升级IPS特征库来获得防护能力:

此外,我们仍然建议用户按照上一章的建议升级系统补丁,以修复漏洞,从根本上消除被攻击的可能。

如何治疗肠易激综合征
肠易激综合征
孩子肚子胀气如何快速消除
孩子肚子胀气