Fidelis威脅情資更新:Petya 勒索軟體行為
2017-07-03

Fidelis威脅情資更新:Petya 勒索軟體行為,2017年6月27日

注意:Fidelis客戶應盡快登錄Support portal並檢查Fidelis的指令覆蓋聲明。

 

烏克蘭和俄羅斯的大型企業2017/06/27出現了許多系統感染勒索軟體的報告,最初這被認為是Petya類別(參見我們在GoldenEye上的博客(see our blog on GoldenEye)),但是這仍然在審查中(見卡巴斯基(see Kaspersky)),在這一天,這類的勒索軟體已經造成了極大的全球效應,更甚至於橫跨到西歐和美國的企業。

 

以下是我們目前所調查出的一些看法:

 

第一. 與2017年5月的勒索軟體事件相似,這些事件特別有影響力,因為都利用其勒索軟體來做為歛財的工具,這些勒索軟體的功能似乎有著兩個部分: 

a. 執行大約30分鐘後,它會利用EternalBlue在LAN的網路上散佈。

b. 它利用WMIC / psexec收集憑證來散佈,特別是當在受感染的主機上獲取工作站或網域管理員憑據時,WMIC還會自動重新啟動惡意軟件。

第二. 我們還發覺此一軟體嘗試使用已經獲取的憑證從網站伺服器進入LAN的網路,這可能是散佈惡意軟件以執行psexec的另一種方法。

第三. 勒索軟體紀錄通常嵌入在.data目錄中的DLL中看到。

第四. 文件擴展名定位列表也可以看到。

.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml。

fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf。

sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip。

 

積極防護措施

當然保持系統修補和更新是至關重要的,MS17-010 – Eternalblue安全性弱點微軟在三月的時候進行了修補,所使用的SMBv1協議也可以根據微軟的KB文章完全禁用。

與任何勒索軟體一樣,為了阻止或至少減慢傳播速度,網路分段是有其一定的幫助,個別系統也應該隨時保持備份狀態。

在此事件中勒索軟體使用收集來的的憑據入侵尤其是使用特權憑據登錄系統所產生的風險,還有在LAN上使用了EternalBlue傳播,但是WMIC / psexec傳播更是使這風險大大的升級到威脅企業範圍,對於Fidelis客戶,Fidelis Network v8.3.5檢測惡意軟件的網路傳輸以及MS17-010傳播向量,Fidelis客戶應盡快登錄Support portal並檢查Fidelis的指令覆蓋聲明。

請參閱連結:https://www.fidelissecurity.com/threatgeek/2017/06/fidelis-threat-update-petya-ransomware-event-june-27-2017

 

如有任何問題,查詢或意見請直接與我們聯繫:

電子郵件:pm@fairline.com.tw

電話號碼:02 2658 1818

辦公地址:台北市內湖區瑞光路583巷32號五樓