Petya免疫工具是針對互聯(lián)網(wǎng)上出現(xiàn)Windows操作系統(tǒng)的勒索病毒的免疫修復的工具。此勒索病毒利用此前披露的Windows SMB服務(wù)漏洞RTF漏洞攻擊手段��,修改系統(tǒng)的MBR引導扇區(qū)�,當電腦重啟時,病毒代碼會在Windows操作系統(tǒng)之前接管電腦�,執(zhí)行加密等惡意操作。
基本簡介
Petya免疫工具是針對互聯(lián)網(wǎng)上出現(xiàn)Windows操作系統(tǒng)的勒索病毒的免疫修復的工具��。此勒索病毒利用此前披露的Windows SMB服務(wù)漏洞(微軟 <http://stock.finance.sina.com.cn/usstock/quotes/MSFT.html>漏洞公告:MS17-010)和(CVE-2017-0199)RTF漏洞攻擊手段���,修改系統(tǒng)的MBR引導扇區(qū)��,當電腦重啟時����,病毒代碼會在Windows操作系統(tǒng)之前接管電腦,執(zhí)行加密等惡意操作���。
病毒介紹
27日晚間�,名為“Petya”的勒索病毒在全球范圍內(nèi)爆發(fā)�。據(jù)外媒HackerNews報道,27日晚間消息�,烏克蘭境內(nèi)包括國家儲蓄銀行 (Oschadbank)、Privatbank 銀行在內(nèi)的幾家銀行機構(gòu)���、 電力公司 KyivEnergo �、國家郵政(UkrPoshta)均遭受Petya病毒的大規(guī)模網(wǎng)絡(luò)攻擊����。
目前,Petya病毒已經(jīng)侵襲了烏克蘭�、俄羅斯、印度����、西班牙�、法國���、英國以及歐洲多個國家。
病毒分析
經(jīng)過深信服千里目安全研究團隊研究發(fā)現(xiàn)���,Petya勒索病毒是一種新型病毒�����,主要采用郵件釣魚�、蠕蟲等組合進行傳播���。在傳播過程中主要涉及Windows兩個重要漏洞�����。
漏洞一:(CVE-2017-0199)RTF漏洞
CVE-2017-0199允許攻擊者利用此漏洞誘使用戶打開處理特殊構(gòu)造的Office文件在用戶系統(tǒng)上執(zhí)行任意命令��,從而控制用戶系統(tǒng)��。
簡單來講����,就是攻擊者可以將惡意代碼嵌入Word等Office文檔中,在無需用戶交互的情況下����,打開Word文檔就可以通過自動執(zhí)行任意代碼。在通常的攻擊場景下�,用戶收到一個包含惡意代碼的Office文件 (不限于RTF格式的Word文件,可能為PPT類的其他Office文檔)�,點擊嘗試打開文件時會從惡意網(wǎng)站下載特定的 HTA程序執(zhí)行,從而使攻擊者獲取控制��。
在本次Petya勒索病毒事件中��,攻擊者首先利用CVE-2017-0199漏洞通過郵件方式進行釣魚投毒�����,建立初始擴散節(jié)點���。
漏洞二:MS17-010(永恒之藍)SMB漏洞
MS17-010(永恒之藍)SMB漏洞是今年4月方程式組織泄露的重要漏洞之一���。
“永恒之藍”利用Windows SMB遠程提權(quán)漏洞,可以攻擊開放了445 端口的 Windows 系統(tǒng)并提升至系統(tǒng)權(quán)限��。
TCP 端口 445在WindowsServer系統(tǒng)中提供局域網(wǎng)中文件或打印機共享服務(wù)��,攻擊者與445端口建立請求連接,能夠獲得指定局域網(wǎng)內(nèi)的各種共享信息�。
在通過RTF漏洞建立初始擴散節(jié)點后可利用MS17-010(永恒之藍)SMB漏洞感染局域網(wǎng)中開放445端口建立共享服務(wù)的所有機器。
功能介紹
特性一:疫苗免疫:
通過已經(jīng)捕獲到的病毒文件��,對病毒感染原理進行分析�,了解病毒會先判斷機器是否已經(jīng)感染過�����,如果已經(jīng)感染過就不進行后續(xù)流程�。因此增加已經(jīng)感染過的疫苗處理,加強系統(tǒng)對已知病毒的免疫能力���。
特性二:操作系統(tǒng)關(guān)鍵補丁包檢測
針對Windows SMB服務(wù)漏洞(微軟漏洞公告:MS17-010)的關(guān)鍵補丁深度檢測
特性三:(僅針對個人PC)一鍵暫停微軟網(wǎng)絡(luò)共享服務(wù)
增加系統(tǒng)防火墻規(guī)則
關(guān)閉TCP/UDP端口135��、139�����、445(SMB服務(wù)相關(guān)端口)
特性三 可能帶來影響說明���!
1、自動啟用關(guān)閉狀態(tài)的PC防火墻��,默認產(chǎn)生應(yīng)用拒絕策略,可能導致本可使用的個人PC應(yīng)用無法使用
2����、同時自動關(guān)閉上述端口操作,在規(guī)避隱患同時會導致系統(tǒng)某些服務(wù)停止����,例如:打印機、共享文件夾等應(yīng)用���。
