【新唐人2017年06月28日讯】被命名Petya(佩提亚)新的勒索软件,正迅速在全球蔓延,网路资安厂商趋势科技建议使用者采取以下3个防范措施来避免感染:套用MS17-010修补更新、停用TCP连接埠445、严格管制拥有系统管理权限的使用者群组。
趋势科技已将Petya勒索软件命名为RANSOM_PETYA.SMA,该病毒已知会使用EternalBlue漏洞攻击套件搭配PsExec工具来感染电脑。目前已知俄罗斯和乌克兰灾情惨重,其中乌克兰政府、银行、核电站、地铁均被攻陷,之后欧洲和美国也有灾情传出。
目前新病毒威力很强,灾情扩散迅速,人们担忧今年5月的WannaCry“想哭”危机再现。
趋势科技建议一般使用者和企业机构应采取以下3个防范措施来避免感染:
1.套用MS17-010修补更新
2.停用TCP连接埠445
3.严格管制拥有系统管理权限的使用者群组。
中央社引述趋势科技表示,相比上个月造成全球大恐慌的WannaCry(想哭)勒索病毒,Petya(佩提亚)散播的管道主要有两种:其一为同样利用透过微软的安全性弱点MS17-010–Eternalblue,针对企业及消费者进行勒索攻击。
与上次WannaCry不同的是,Petya入侵电脑后,会修改电脑硬碟中的主要开机磁区(Master Boot Record,MBR)设定,并建立排程工作于1小时内重新开机,一旦受害者重开机后其电脑萤幕将直接跳出勒索讯息视窗,无法进行其他操作。
趋势科技指出,另一个值得注意的攻击管道为其骇客利用微软官方的PsExec远端执行工具,以APT(目标式)攻击手法入侵企业,一旦入侵成功,将可潜伏于企业内部网路中并感染控制企业内部重要服务器,进一步发动勒索病毒攻击,对企业内部机密资料进行加密勒索,以达到牟利之目的。
Petya该如何防范?趋势科技建议,无论是企业用户或是消费者,都应安装更新电脑作业系统最新的修补程式,尤其是跟安全性弱点MS17-010 EternalBlue相关的安全性修补程式。
此外,也可透过GPO(群组原则物件)或是微软官方的说明停用此类含有漏洞的Windows Server MessageBlock(SMB,服务器讯息区),正确配置SMB服务才能免于受到此次攻击影响,企业用户也应严格管制拥有系统管理权限的使用者群组。
趋势科技也建议安装资安防护软体,目前趋势科技的XGen多层式企业端产品与消费端产品都已经自动将病毒码更新,现已可有效防范此次的Petya威胁,消费者可用PC-cillin 2017云端版中的勒索克星保护重要资料,而趋势科技也提供企业用户Patch Support的服务。