6月27日晚间,代号为“Petya”的勒索病毒肆虐全球,根据外国媒体报道,俄罗斯石油公司Rosneft、乌克兰国家储蓄银行和政府系统都受到了攻击,仅俄、乌两国就有80多家公司被该病毒感染,就连乌克兰副总理的电脑也不幸中招。其他受影响的国家包括英国、印度、荷兰、西班牙、丹麦等。
经过深度分析,火绒安全团队惊讶地发现,Petya和以往的勒索病毒有很大不同——病毒作者精心设计制作了传播、破坏的功能模块,勒索赎金的模块却制作粗糙、漏洞百出,稍有勒索病毒的常识就知道,病毒作者几乎不太可能拿到赎金——或者说,病毒作者根本没打算得到赎金。
这种行为非常不可思议,火绒安全工程师认为,与其说Petya是勒索病毒,不如说它是披着勒索病毒外衣的反社会人格的恶性病毒,就像当然臭名昭著的CIH等恶性病毒一样,损人不利己,以最大范围的传播和攻击破坏电脑系统为目的。
从传播能力来看,进入内网环境的Petya传播方式非常丰富:利用“永恒之蓝”和“永恒浪漫”两个漏洞进行传播;还通过内网渗透使用系统的WMIC和Sysinternals的PsExec传播……所以,即使电脑修复了“永恒之蓝”漏洞,只要内网有中毒电脑,仍有被感染的危险。因此,Petya的传播能力和威胁范围远远超过5月份震惊世界的WannaCry病毒。
从破坏能力来看, Petya除了像其他勒索病毒一样加密锁定文件之外,还会修改硬盘主引导记录(MBR)、加密硬盘文件分配表(MFT),导致电脑不能正常启动。
Petya病毒开出了常规的价值300美金的比特币赎金,但是却没有像常规勒索病毒一样向受害者提供可靠、便捷的付款链接,而是选择用公开的电子信箱来完成赎金支付,很显然,这样做特别粗糙和脆弱。病毒爆发后,邮件账户立刻被供应商Posteo关闭,导致赎金交付的流程中断。相比于“精巧”、多样的传播和破坏功能,病毒作者对赎金支付功能很不重视,用一种不可靠、简单的方式“敷衍了事”,似乎并不关心能否收到赎金。
目前全球范围内没有一例成功支付赎金,进而解锁了文件和系统的报告。该病毒不光和其他勒索病毒迥然不同,更是违逆了近10多年来,各种病毒、木马大都已牟利为目的的“行业潮流”。
在病毒爆发的第一时间,火绒安全团队就紧急升级了病毒库。下载“火绒安全软件”,保持默认的自动升级和防御设置即可拦截病毒。最后再强调一句,鉴于赎金支付流程已经中断,火绒安全团队建议受害者别再去尝试支付赎金。
二、Petya not Petya
火绒团队通过分析发现,此次攻击事件同上次的“WannaCry”类似,利用漏洞使得传播速度更快,但是对勒索病毒更应该关注的支付赎金流程都是草草处理,这一点很奇怪。尤其是新“Petya”,在内网传播功能上病毒更是花费了心思。
新旧两个版本的“Petya”相比,旧版本“Petya”的更像是一个真正的勒索病毒,在支付赎金的手段上,它会为不同用户生成不同的暗网地址用户支付赎金。而新版本的“Petya”反而弱化了支付赎金流程,只是提供了一个简单的邮箱和黑客联系,如果病毒的目的是为了勒索,是旧版本的“Petya”升级,应该没有必要去掉这个流程。
1.png
旧版本“Petya”的支付赎金界面
2.png
新版本“Petya”的支付赎金界面
另外”WannaCry”和新“Petya”两个病毒通过勒索文件所得到的赎金有限,几乎所有的安全专家第一时间都建议不要支付赎金。普遍认为的原因是,在勒索病毒“Petya”蔓延后, 电邮提供商Posteo直接封掉了“Petya”黑客收取赎金时用到的电子邮箱帐号。病毒制作者无法收到邮件,也就无法提供解密密钥。火绒团队分析后认为,更深的原因是即使该邮箱存在,使用邮件方式去确认感染数量众多的用户是否支付赎金,也不合乎常理。
病毒作者留下的联系邮箱,和模拟旧版本“Petya”相似的勒索界面还有加密方法,更像是一个个的“幌子”,用于掩盖病毒疯狂传播造成更大“破坏”的目的。
新“Petya”病毒到底是利用CVE2017-0199漏洞攻击,或是利用MEDOC更新服务器推送病毒,无论这两种说法哪一个真的,都可以说明黑客精心设计和制作的攻击都不像是为了赚取赎金,更像是为了快速传播并造成更多损害。
新“Petya”的作者熟悉内网渗透流程,同“WannaCry”的传播相比,即使安装了Windows的全部补丁也不能阻止新“Petya”在内网的传播。“WannaCry”和“Petya”两次病毒的大面积爆发,更像是黑客攻击“预演”和“实战”,是黑客对所有人的“力量展示”。
三、新“Petya”的传播分析
Petya病毒除了使用通过漏洞进行传播之外,还具有很强的内网渗透能力。其主要的内网传播方式主要有:
1. 该病毒维护着一个主机密码表,通过CredEnumerateW函数获取用户凭据和使用mimikatz工具获取用户名密码这两种方式对密码表进行填充。其获取的密码表会在用于进行传播并使用wmic和psexec进行远程执行。
2. 将其所有可以访问的主机都加入到另一个列表中,对列表中的每一个主机都进行一次远程传播和执行的尝试。由于同属于同一局域网中,有可能在被感染主机上依然存在对其他主机的网络访问权限,病毒利用该权限对内网环境进行传播。
3. 通过EnternalBlue和EnternalRomance漏洞进行传播。
公司规范网络行为加密保护局域网电脑文件安全的具体措施有哪些?
大势至电脑文件防泄密系统(下载 地址:https://dashizhi.com/Download_Center )是一款保护电脑文件安全、严防企业商业机密外泄的软件产品。系统主要从三个维度进行管理,即USB存储设备控制、上网行为控制、操作系统控制,从而构建立体化、全方位信息安全防护平台。
大势至电脑文件防泄密系统可以禁止一切USB存储设备连接电脑拷贝资料,不控制鼠标、键盘、U盾等USB非存储设备,还可以灵活管控光驱、软驱、红外、蓝牙、随身wifi、聊天软件、网盘、邮箱、注册表、应用程序、网卡、随身wifi等多项功能。
大势至电脑文件防泄密系统安装和操作十分简单快捷,各项功能划分精细齐全,控制精准有效,目前已成功应用百万终端,积累了丰厚的行业经验。系统分为两个版本,即单机版和网络版,单机版逐一管理,网络版有管理端,可以统一管理。
作为一款功能强大的局域网电脑安全防护软件,”大势至电脑文件防泄密系统“可以实现对电脑文件的全面保护,具体而言,利用该工具可以针对”存储设备进行管理“、”网络行为管理“、”智能接入设备管理“、”计算机接口“和”操作系统“进行管理,原本需要通过修改”组策略“或”注册表“才能完成的功能,现在只需要在软件界面中进行勾选即可实现对应的操作。
“大势至电脑文件防泄密系统”具有针对U盘等存储设备全面的读取权限控制功能,同时还可以实现基于特定U盘的读取操作、受密码权限保护的U盘读取操作。此外,还具有局域网网络行为控制功能,具体而言,可以实现针对与电脑文件传输有关的各类限制操作,包括“禁止微信传输文件”、“禁止聊天软件运行”以及“只允许特定的程序运行”等功能。
通过基于USB存储设备防泄密、网络途径防泄密和操作系统安全防护三大功能模块协同配合,提供无懈可击的电脑文件防泄密。
通过系统提供的针对操作系统的安全管控功能,如禁止修改注册表、禁止修改组策略、禁用设备管理器、禁止PE盘启动操作系统、禁止光驱启动操作系统、禁止进入操作系统安全模式等,间接保护了电脑文件安全,防止一些懂技术的员工试图绕过本系统而达到重新使用USB存储设备或通过网络途径泄密的行为。此外,系统还提供了禁止电脑安装软件、只让电脑运行指定软件、禁止电脑随意浏览网页、只让打开某些网站等,规范了员工上网行为,防止上班时间开小差的行为,提升了工作效率。
三、核心技术先进国内同类信息安全产品
大势至电脑文件防泄密系统集成了多项业内领先技术,均由大势至公司独创研发,这些领先技术让企业信息安全管理变得更为精准高效,快捷简单。具体如下:1、国内独家实现了全报文的API HOOK技术,可以实时控制任何电脑的操作行为,全面保障电脑文件安全,严防泄密。2、独家实现了动态双进程自我保护和反向智能防干扰技术,全面保障系统稳定运行,防止一切影响系统安全的电脑操作行为。3、独创基于窗口名、程序类名、进程描述协同识别技术,精准控制任意程序的运行、任意网址的打开、任意动作的执行。系统主要提供了以下核心功能:
1、管理USB存储设备的使用
》禁止电脑连接一切USB存储设备,包括:优盘、移动硬盘、手机、平板等,不影响USB鼠标、键盘、加密狗等。
》设置特定U盘,即电脑只能识别白名单列表中的U盘。同时还可以对特定U盘进行二次权限设置。
》只允许从U盘向电脑拷贝文件,禁止电脑向U盘拷贝文件,或只允许电脑向U盘拷贝文件,禁止U盘向电脑拷贝文件。
》 密码权限设置。设置从电脑向U盘、移动硬盘拷贝文件时需要输入管理员密码。
》禁用CD/DVD光驱、禁止光驱刻录功能,但是允许光驱读取、禁用软驱。
》监控USB存储设备拷贝记录。详细记录U盘拷贝电脑文件时的日志,包括拷贝时间、文件名称等。
2、网络泄密行为管理
》禁止聊天软件泄密。设置特定QQ、允许QQ聊天但禁止传文件、禁止QQ群传文件、禁止微信传文件等。
》禁止邮箱外传文件。禁止登录一切邮箱、允许登录特定邮箱、只允许收邮件禁止发送邮件等。
》禁止网盘向外传文件。禁止使用一切网盘、云盘,也可以设置使用特定网盘、云盘等。
》程序黑白名单管理。设置禁止运行的程序列表,或者设置只允许运行的程序列表。
》网页黑白名单管理。设置禁止打开的网址名单,或者设置只允许打开的网址名单。
》禁止登录论坛、博客、贴吧、空间等,禁止使用FTP上传文件、禁止手机和电脑通过网络互传文件等。
3、操作系统底层防护
》禁用注册表、禁用设备管理器、禁用组策略、禁用计算机管理、禁用任务管理器、禁用Msconfig、禁用安全模式、禁用光盘启动电脑、禁用红外、禁用串口/并口、禁用1394、禁用PCMCIA、禁用调制解调器
》禁用U盘启动电脑、禁用DOS命令、禁用格式化和Ghost、禁止修改IP/Mac、屏蔽PrtScn、屏蔽Esc键、屏蔽剪贴板、禁止网络共享、禁止查看进程、屏蔽Win键、屏蔽Ctrl+Alt+A键、禁用Telnet、开机系统自动隐藏运行
》设置全局白名单、禁止局域网通讯、禁用虚拟机、禁止创建用户、禁用有线网卡、禁用无线网卡、禁止安装随身WIFI、禁用蓝牙、登录密码设置、软件唤出热键管理、安装目录权限管理、UAC管理、恢复管理
》禁止开机按F8进入安全模式、禁止光驱启动操作系统、禁止U盘启动操作系统、禁止PE盘启动电脑等,防止各种手段绕过系统监控的情况。
总之,通过大势至电脑文件防泄密软件可以阻止通过各种途径泄密电脑文件、泄露公司商业机密的行为。同时,通过本系统提供的操作系统安全防护功能、网络行为控制功能,还可以进一步规范员工上网行为,提升工作效率,也间接保护了电脑文件安全,防止公司商业机密泄露的行为。
同时,通过大势至在信息安全领域多年的技术积累和实践经验,可以为提供个性化的二次定制开发服务,从而可以满足用户深度的、实时的电脑文件防泄漏管理需要,真正帮助企事业单位实现公司电脑文件安全管理、公司数据防泄漏和商业机密保护的较终目的。
