粉絲團
繼勒索病毒 WannaCry 之後,昨日晚間又出現一款全新勒索病毒 Petya 橫掃全歐洲,許多銀行、政府機關、醫院等電腦系統皆中招,讓不少人人心惶惶。到底 Petya 是什麼東西?又該如何防範?資安業者也分享簡單的自保方法,並說明了 Petya 的感染過程。
(圖/趨勢科技)
趨勢科技指出,提出最新觀察,相比上個月造成全球大恐慌的 WannaCry 勒索病毒,Petya散播的管道主要有兩種:其一為同樣利用透過微軟的安全性弱點:MS17-010 – Eternalblue針對企業及消費者進行勒索攻擊,而與上次 WannaCry 不同的是,本次 Petya 入侵電腦後,會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定,並建立排程工作於一小時內重新開機,一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗,無法進行其他操作。
「Petya」勒索病毒感染途徑(圖/趨勢科技)
另一個值得注意的攻擊管道為其駭客利用微軟官方的 PsExec 遠端執行工具,以 APT(目標式)攻擊手法入侵企業,一旦入侵成功,將可潛伏於企業內部網路中並感染控制企業內部重要伺服器,進一步發動勒索病毒攻擊,對企業內部機密資料進行加密勒索,以達到牟利之目的。
「Petya」勒索訊息畫面(圖/趨勢科技)
面對這樣的勒索病毒攻勢,應該如何防範?趨勢科技指出,第一就是要常常更新修補程式。趨勢科技指出,無論是企業用戶或是消費者,都建議安裝更新電腦作業系統最新的修補程式,尤其是跟安全性弱點 MS17-010 EternalBlue 相關的安全性修補程式,此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 Windows Server Message Block (SMB) ,正確配置 SMB 服務才能免於受到此次攻擊影響,企業用戶也應嚴格管制擁有系統管理權限的使用者群組。
除了更新修補程式以外,安裝資安防護軟體也很重要。趨勢科技表示,旗下 XGen 多層式企業端產品與消費端產品都已經自動將病毒碼更新,就可以有效防範此次的 Petya 威脅,脅,消費者可用PC-cillin 2017 雲端版中的勒索剋星保護重要資料,而趨勢科技也提供企業用戶Patch Support的服務,可至此連結下載 Support Petya Page。
