Sophos客戶可參考這Knowledge Base Article的技術(shù)資訊更新，這包含我們正偵測(cè)和攔截的攻擊變種。

自從昨天的Petya勒索軟體攻擊，大家都設(shè)法了解它如何散播，并這是否上個(gè)月WannaCry勒索軟件的續(xù)集?

Sophos研究員團(tuán)隊(duì)研究出兩者如何散播的共通點(diǎn)，和一些相異之處。他們亦湊集感染和加密的次序，和受保護(hù)的客戶的情報(bào)。

與WannaCry之間的異同

我們研究員找不到在互聯(lián)網(wǎng)散播的機(jī)制，但就如WannaCry，它利用針對(duì)甩脆弱的SMB安裝的EternalBlue/EternalRomance漏洞入侵散播開去。

然而這散播只通過(guò)內(nèi)部網(wǎng)絡(luò)進(jìn)行，下圖顯示Petya的SMB漏洞入侵shellcode對(duì)比WannaCry的:

漏洞入侵命令行工具

當(dāng)SMB漏洞入侵失敗時(shí)，Petya會(huì)嘗試使用本地用戶帳戶的PsExec (PsExec是讓用戶在遠(yuǎn)端系統(tǒng)運(yùn)行程序的命令行工具) 。它亦運(yùn)行一個(gè)修改了的mimikatz LSAdump 工具，可找出記憶體上所有用戶登入憑據(jù)。

它企圖運(yùn)行Windows Management Instrumentation 命令行 (WMIC) 以在每個(gè)具相關(guān)登入憑據(jù)的已知主機(jī)上部署和執(zhí)行有效負(fù)載。(WMIC是一個(gè)腳本介面，簡(jiǎn)化了Windows Management Instrumentation (WMI) 和透過(guò)它管理的系統(tǒng)的使用)

黑客透過(guò)使用WMIC/PsExec/LSAdump駭入技巧，可感染在本地網(wǎng)路中已全面安裝補(bǔ)丁的電腦，包括Windows 10。

攻擊階段

當(dāng)感染一旦減慢，加密階段就開始。這勒索軟體加密您的資料文件并覆寫您硬盤的開機(jī)間區(qū)，於是下一次當(dāng)您重新開機(jī)時(shí)，您的C:盤的主索引亦將會(huì)被加密。為加深傷害 - 可能考慮到大多數(shù)用戶在這陣子只會(huì)重新開機(jī) - 勒索軟體會(huì)自動(dòng)在一小時(shí)後強(qiáng)制重新開機(jī)，因此會(huì)啟動(dòng)二次加密。

請(qǐng)細(xì)心留意勒索注記:

更甚的是，用作支付贖金的郵箱已遭關(guān)閉。因此即使受害者打算支付贖金，根本沒(méi)有可靠方法確認(rèn)款項(xiàng)已收訖和取得解密密鑰。

有沒(méi)有kill switch?

資安業(yè)界最常見的問(wèn)題之一就是當(dāng)中有沒(méi)有kill switch以關(guān)掉感染，答案是有的，但只限本地，如下：

Sophos 的防護(hù)方案

使用Sophos Endpoint Protection的客戶已得到抵御所有這勒索軟體的新近變種的防御。我們首次在6月27日13:50 (UTC時(shí)間) 發(fā)出保護(hù)，并已提供數(shù)個(gè)更新以進(jìn)一步防御未來(lái)可能爆發(fā)的變種。

另外，使用Sophos Intercept X的客戶已在這新勒索軟體出現(xiàn)時(shí)先發(fā)制人主動(dòng)受到保護(hù)，因此資料不會(huì)遭到加密。

再者，客戶可選擇限制用戶在其網(wǎng)路上使用PsExec和其他雙用管理員工具。Sophos Endpoint Protection提供PUA偵測(cè)，針對(duì)psexec和其他不需在每臺(tái)電腦和每位用戶安裝的遠(yuǎn)程管理員軟體。

我們創(chuàng)建了一個(gè)影片演示Intercept X如何對(duì)付Petya。

防御措施

即使Sophos客戶已受保護(hù)，還有一些客戶可做的行動(dòng)以加強(qiáng)防御，如下：

· 確保系統(tǒng)具有最新的修補(bǔ)程式，包括Microsoft MS17-010 公告中所提

· 考慮禁止 Microsoft PsExec 工具在使用者電腦上執(zhí)行。您可以使用如 Sophos Endpoint Protection 等產(chǎn)品來(lái)加以阻擋。Petya 變種在自動(dòng)傳播的另一種方法的一部份中會(huì)使用該工具的特定版本

· 定期備份，并在異地保留最近的備份副本。除了勒索軟體之外，還有幾十種方式會(huì)讓檔案突然消失，例如火災(zāi)丶洪水丶竊盜丶筆記型電腦遺失，甚至是意外刪除。加密您的備份，就不必?fù)?dān)心備份裝置落入他人之手

· 避免開啟來(lái)自不明寄件者的電子郵件附件，即使您在人力資源或會(huì)計(jì)部門工作，并且經(jīng)常使用附件

· 下載 Sophos Intercept X 的免費(fèi)試用版。家庭 (非商業(yè)用戶) 請(qǐng)注冊(cè)免費(fèi)的 Sophos Home Premium Beta，透過(guò)防止硬碟上的檔案和磁區(qū)遭到未經(jīng)授權(quán)的加密來(lái)防御勒索軟體

為讓您更能了解像Petya的網(wǎng)路威脅，我們建議您參考以下資源：

· 防范勒索軟件的一般作法，請(qǐng)見How to stay protected against ransomware

· 為了更加了解網(wǎng)路釣魚，請(qǐng)見這說(shuō)明文章

· 為了阻擋 JavaScript 附件，請(qǐng)?jiān)O(shè)定「Windows 檔案總管」使用「記事本」開啟 .JS 檔案

· 為了防止誤導(dǎo)性的檔案名稱，請(qǐng)?jiān)O(shè)定「Windows 檔案總管」顯示檔案副檔名

· 如須更多關(guān)於勒索軟體的資訊，請(qǐng)聆聽我們的 Techknow 播客

· 為了保護(hù)您的朋友和家人免受勒索軟體威脅，請(qǐng)?jiān)囉梦覀兊?a >免費(fèi) Sophos Home for Windows 和 Sophos Home for Mac