• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:911

●重點摘要： 1. Petya的變種勒索病毒開始肆虐全球，短時間內導致俄羅斯、烏克蘭、西班牙、法國、英國、印度及泰國等國的政府單位、軍事單位、發電廠、銀行、電信公司及企業電腦遭加密。 2. Petya勒索病毒使用跟WannaCry勒索病毒一樣的Windows SMBv1漏洞進行攻擊；同時它也透過電子郵件等方式散播，使用CVE-2017-0199的Office RTF漏洞進行攻擊，並散播到同網域的電腦中。 3. Petya並不會一個一個將電腦內檔案加密，它會重啟受害者電腦，將硬碟主文件表(Master File Table, MFT)加密，導致主開機紀錄(Master Boot Record, MBR)無法正常運作，亦導致無法存取系統內檔案的檔案名稱、大小及實體位置等資訊。 4. Petya以惡意程式碼取代電腦的MBR檔案，導致電腦開機後會顯示勒索訊息，而非正常開機程序，勒索訊息則指出需要繳交相等於300美元的比特https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx幣才能解鎖。 5. 攻擊者的郵件信箱(wowsmith123456[at]posteo[dot]net)已被封鎖，因此就算付款也無法解鎖。 ●防毒疫苗： 1. TWCERT/CC已實作驗證，方法是手動在C:\Windows目錄下建立一個叫perfc的執行檔(是空的檔案就可以，不用唯讀檔也可以，所以不用擔心有任何的惡意行為)。 2. 惡意程式執行時，會於 C:\Windows 資料夾中檢查是不是有跟自己一樣名稱的檔案存在，若存在則結束程式執行，不存在則建立與自己一樣檔名的檔案，因此建立此檔案可讓成是直接結束執行。 3. 研判此機制是為了避免於內網擴散時避免重複執行該程式。 ●TWCERT/CC提醒建議用戶採取以下方法來避免受勒索軟體影響 : 1.定期備份並遵循3-2-1規則來備份檔案：建立三份副本，使用兩種不同媒體，一份副本要存放在不同的地方，此外至少有一個系統備份是處於實體隔離的網路環境。 2.刪除收到的可疑電子郵件，尤其是包含連結或附件的。 3.確保更新電腦上的防毒軟體。 4.保持更新作業系統及其他軟體，Petrwrap勒索軟體所利用之作業系統弱點與Office應用程式弱點，已分別於3月與4月釋出修復程式，請至微軟官方網頁進行更新： (1)MS17-010：https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx 。另外已超過維護週期之作業系統，例如XP/Server 2003等，請參考連結(https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)下載後進行更新。 (2)CVE-2017-0199：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 5.部份微軟Office檔案會要求用戶啟動巨集以觀看其內容，對此類電子郵件附件務必提高警覺。 6.一旦受到感染，馬上將受感染電腦從網路上及外置儲存裝置隔離。在清除惡意軟體前不要開啟任何檔案。 7.不要支付贖金。 如有任何相關問題可以通報TWCERT/CC 免付費服務電話 0800-885-066 資安事件通報電話 03-4115387 資安事件通報信箱 twcert@cert.org.tw

參考連結：

http://thehackernews.com/2017/06/petya-ransomware-attack.html
https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
https://blog.trendmicro.com/trendlabs-security-intelligence/large-scale-ransomware-atta