Petya病毒变种卷土重来!ESET防毒软体已侦测并更新

 

   


2017年6月27日 最后更新时间:美国太平洋夏令时下午3:10时

据路透社和多家媒体报道,一种新勒索病毒大规模爆发,初始于乌克兰,后迅速席卷欧洲和美国。受其攻击的知名企业有,丹麦航运公司马士基集团以及英国广告公司WPP。

该勒索病毒貌似与恶意软件Petya家族有关,目前ESET将其检测为W32/DiskCoder.C木马。

ESET用户可以借鉴此处的操作步骤,确保获得针对此威胁的最强防护。此外,还可以在这里查看,专为ESET用户提出的防范此新型恶意程序的建议只要您安装有任意一款当代ESET产品并采用默认设置,便可成功防范这一威胁。同时,具备网络检测功能的ESET全线产品,均可通过主动防御技术,防范利用SMB(服务器信息块)传播机制 - EternalBlue – 传播的恶意软件。

此次病毒攻击规模,堪比近期WannaCry大爆发。ESET产品能够有效保护商业用户和家庭用户,免于感染WannaCry。

ESET研究人员已找到这一全球疫情的源头。攻击者成功入侵了会计电算化软件M.E.Doc,一款在乌克兰各行各业广泛应用的电算化软件,含金融机构在内。有几家公司执行了已被植入木马的M.E.Doc更新程序,使攻击者能够发起今天的大规模勒索病毒攻击,并继而传播至全国乃至世界各地。今天,M.E.Doc已在其官方网站上发布了预警公告:http://www.me-doc.com.ua/vnimaniyu-polzovateley


Petya的加密原理是什么?

恶意程序Petya会攻击计算机的主引导记录(MBR)。这是系统开机的关键环节,含有硬盘分区信息,并辅助引导操作系统的加载。一旦恶意程序成功感染主引导记录,便会对整个硬盘进行加密。否则,便会加密全部文件,与Mischa如出一辙。

这一新恶意程序采用了一种综合机制,利用WannaCryptor所运用的EternalBlue漏洞工具渗透网络之后,再通过PsExec在网络中肆意传播。

如需确认您的Windows操作系统是否已打上专用安全补丁,可使用ESET发布的免费工具EternalBlue漏洞检查工具查看

这一强有力综合机制的运用,很可能是继近期勒索病毒大爆发、成为新闻媒体头条之后,虽然多数计算机理应已打补丁,但该病毒爆发后仍能迅速传播的原因所在。成功渗透进网络,只需借助一台未打补丁的计算机即可。此后,该病毒便会接管管理员权限,并向其他计算机传播。

Petya和文件加密类勒索病毒

乌克兰的金融机构、能源产业和大量其他行业,都遭受了攻击。给能源产业所造成的损失,目前尚未确认;与先前ESET所检测到的、臭名昭著的产业终结者恶意软件所造成后果不同的是,此次未见电力供应中断等一类报道。


#PETRA勒索病毒检测比例


有关该勒索病毒内置提示信息的一幅截图在网上反复流传,其中包括由Group-IP所发布的一幅截图,(经我们整理后的)内容如下:

“看到此提示之时,你的文件已无法继续访问,因为它们均已被加密…我们保证,你可以安全、轻松地恢复你的所有文件。只需汇款(300美元比特币),购买解密密钥即可解密。”

如何防范

有关Petya和文件加密类勒索病毒的详细说明,请阅读ESET公司于2016年在WeLiveSecurity.com官方博客中发表的这篇文章

此博文将随最新资讯更新。

 

ESET侦测到的“Petya”Ransomware,于2017年6月28日最近更新为PDT:9:00

 

#欲知更多产品讯息:

企业用户:http://www.eset.com.cn/business/endpoint-security/

个人用户:http://www.eset.com.cn/home/

#欲购买产品:http://www.eset.com.cn/estore/

或致电ESET技术支援:(86) 023-68500367

*ESET检测工具: 

ESET releases “EternalBlue Vulnerability Checker” to help combat WannaCry ransomware

https://www.eset.com/us/about/newsroom/press-releases/eset-releases-eternalblue-vulnerability-checker-to-help-combat-wannacry-ransomware/

原文出处:https://www.eset.com/us/about/newsroom/corporate-blog/petya-ransomware-what-we-know-now/