一、事务布景

北京功夫6月27日晚间，据国表媒体HackerNews爆料，一种类似于“WannaCry”的新型勒索病毒席卷了欧洲，乌克兰境内地铁、电力公司、电信公司、切尔诺贝利核电站、银行系统等多个国度设施均遭习染导致运行异常。该病毒为“Petya”变种病毒，通过邮箱附件传布。另据乌克兰CERT官方新闻称，邮箱附件被确认是该次病毒攻击的传布源头。该勒索病毒在全球领域内发作，受病毒侵袭的国度除了乌克兰表，还有俄罗斯、西班牙、法国、英国以及欧洲多个国度，后续不排除会持续舒展到蕴含中国在内的亚洲国度。

二、病毒分析

经过iSlot官方网站安全产品事业部的取证钻研，这次攻击是勒索病毒“Petya”的变种，病毒传布过程利用到windows的两个缝隙。第一步是利用CVE-2017-0199缝隙发送邮件，将病毒增长在office附件里，PC一旦打开附件，第一个传布的源头被习染成功。第二步是通过MS17-010（永恒之蓝）缝隙和系统弱口令进行传布。缝隙的具体利用情况如下：

缝隙一：CVE-2017-0199缝隙

缝隙注明：CVE-2017-0199允许攻击者利用此缝隙诱使用户打开处置特殊机关的Office文件在用户系统上执行肆意号令，从而节造用户系统。

利用步骤：利用该缝隙，黑客能够将勒索软件的代码嵌入了office文档中，例如word、PPT、Excel等，作为附件假装成求职、告白等通过电子邮件传布。用户收到经过假装的邮件后，一旦打开，勒索病毒开释成可执行文件。

缝隙二：MS17-010（永恒之蓝）SMB缝隙

缝隙注明：MS17-010（永恒之蓝）SMB缝隙是今年4月方程式组织泄露的沉要缝隙之一。“永恒之蓝”利用Windows SMB远程提权缝隙，能够攻击盛开445 端口的 Windows 系统并提升权限。

利用步骤：首先，TCP 端口 445是在Windows 系统中提供局域网中文件或打印机共享服务，黑客尝试与电脑445端口成立要求衔接，一旦衔接成功，就可能获得局域网内共享的文件或信息。通过第一个缝隙习染的第一台PC继而利用MS17-010（永恒之蓝）SMB缝隙习染局域网中盛开445端口的所有PC。

本次勒索病毒覆盖的终端是windows XP级以上操作系统，电脑、服务器习染这种病毒后会被加密特定类型文件，导致系统无法正常运行。分歧于传统勒索软件加密文件的行为，“Petya”是一个选取磁盘加密方式，加密成功后，会显示勒索信息的界面，若是受害者不支付赎金，底子无法进入系统。

被加密后的勒索信息

三、安全建议

1、 恶意邮件防备

该勒索软件初次传布是通过邮件进行的，故此，遇到携带不明office附件和不明链接的邮件请勿点击附件。

2、 针对CVE-2017-0199、MS-17-010两个缝隙实时装置缝隙补丁

（CVE-2017-0199) RTF缝隙补丁地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

S17-010（永恒之蓝）缝隙补丁地址：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

3、 禁用WMI服务

https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx

4、 防火墙防护

iSlot官方网站网络已更新防护特点库，若是您是iSlot官方网站全新下一代防火墙产品的用户，请实时更新到如下版本：病毒样本库：49.00830
； IPS特点库：11.00168

四、总结：

回首“Petya”变种病毒和“wannacry”事务，勒索病毒所使用的伎俩并不是极度高级的攻击步骤，利用的缝隙也并非0-day缝隙，而是微软早已颁布公告的已知缝隙，传布的关键成分在于电脑或服务器存在未实时更新的缝隙和弱口令。因而，企业和幼我都该当真思虑安整个系建设的基础工作，幼我电脑应实时装置操作系统补丁，回绝弱口令并定期更换密码，遇到不明确的邮件不要等闲打开。企业用户应在网络天堑部署能够实时提供相应特点库和防护战术的安全设备，尽早开启防护战术并实时更新特点库。防患于未然，做好安全，企业能力更好地发展。