Check Point支招防御Petya勒索软件攻击 避免下一次攻击

Check Point以色列捷邦安全软件科技有限公司的安全事故应对小组一直关注由Petya恶意软件变体引发的多起全球大型感染威胁。Petya在2016年首度肆虐,目前正在用户网络中横向移动策动攻击,它利用危险漏洞“EternalBlue”进行传播,这与在五月爆发的WannaCry攻击相同。它首先对乌克兰的金融机构发起攻击,之后迅速蔓延,特别是在欧洲、美洲和亚洲。

Petya勒索软件像先前发生的WannaCry攻击一样迅速在企业网络中蔓延。然而,它有一点与WannaCry及其它勒索软件不同, Petya不是对受感染的计算机上的个别文件进行加密,而是对计算机的整个硬盘驱动器进行加密。

Petya攻击事件簿

此次勒索软件攻击从乌克兰开始,并且给整个国家的关键基础设施造成了巨大的破坏,之后攻击蔓延至欧洲,感染了众多企业。根据猜测,这轮Petya的感染源自乌克兰的会计软件供应商M.E. Doc 的软件更新,软件更新包被推送给公司的客户,但M.E. Doc对此否认。

在攻击开始的24小时内,受害人支付赎金后也无法解锁文件,黑客使用的电子邮件账号已经被邮箱服务提供商冻结,黑客无法访问存放赎金的比特币钱包。据悉,黑客收到的赎金不到10,000美金比特币。

在Petya 攻击的同时,Check Point研究小组监测到Loki bot通过受感染的RTF文件进行传播,该文件为受感染的设备安装了凭证窃取应用程序。但是,目前这两个攻击似乎并没有直接的联系。

攻击带来的警示

从最近的几起全球勒索软件攻击中,Check Point总结出三点供企业参考:

  • 这次攻击原本是可以避免的,并且未来的攻击也是可以避免的。超过93%的企业没有部署现有、能抵御这类攻击的保护措施,因此勒索软件传播如此之快也不足为奇。如此看来,企业必须部署能抵御该类网络攻击的解决方案,并且实时更新补丁。
  • 公司、政府和组织的领导者倡导网络安全刻不容缓。这些全球攻击表明,我们必须对未来的网络安全加大投入。从政府层面由上至下地部署现代网络安全技术,让他们免受侵害至关重要。我们知道这些攻击会再次且持续发生,所以需要领先一步,防范未然。
  • 碎片化的安全保护不可取。太多的零散技术是在机构受到侵害后才集中解决有关攻击,这无疑是治标不治本。解决不同规模机构在各个领域的安全问题需要部署一个统一的安全架构,Check Point Infinity就是其中一种,旨在先发制毒,在攻击没有发生前已经做好防御。

如何做好防御工作?

这轮勒索攻击显示出两个趋势:第一,恶意软件的新变体能以极快的速度在全球范围内传播。第二,尽管有WannaCry的先例,很多公司仍然没有做好充足准备,防止同类型的攻击渗透网络。这些攻击有巨大隐患,从乌克兰的关键基础设施受到的影响可窥一斑。并且,感染快速传播的后果是严重影响日常生活,重要服务设施瘫痪,干扰正常秩序。

立即采用全部安全补丁

事实上被Petya和WannaCry勒索软件利用的漏洞,其有关的安全补丁在几个月前已经发布,各个机构应立即为其网络安装这些补丁。同时,当新补丁推出时,他们需要确保实时更新。

下一代威胁防御抵抗攻击

企业需要在攻击发生之前做好预防。要应对此等攻击,等它们发生之后再去监测为时已晚,损失已经造成。下一代威胁防御能在攻击进入网络之前扫描、封锁和过滤可疑文件内容,这一点十分关键。同时,工作人员接受安全教育也非常重要,要让他们意识到未知来源的邮件,或者看似来自熟人的可疑邮件均有潜在风险。

原文发布时间为: 2017年6月30日

时间: 2017-09-01

Check Point支招防御Petya勒索软件攻击 避免下一次攻击的相关文章

Petya勒索软件突袭 Check Point 发表分析简报及支招应对方法

勒索软件攻击一波未平,一波又起,正当全球企业对WannaCry犹有余悸之际,6月27日又爆发了一起新一轮的大规模勒索软件攻击,目前影响最严重的是乌克兰,包括乌克兰中央银行.政府机构和私人企业都受到攻击. 尽管这轮攻击所采用恶意软件尚未确定,但一些研究人员推测它是Petya的一种变体,此种勒索软件不是针对单个文件而是对整个硬盘驱动器进行加密. Check Point以色列捷邦安全软件科技有限公司的分析显示,这次攻击也采用了Loki Bot来进行凭据盗窃.分析还发现此款勒索软件采用"横向移动&quo

构建多层防御应对勒索软件威胁

受到勒索软件攻击的国家分布 近日,一些Linux 的 Web 服务器被一种名为 FairWare 的勒索软件攻击了.通常攻击者会将服务器上 Web 服务器的内容删除并留下如下消息:"Hi, please view here: http://pastebin.com/raw/jtSjmJzS for information on how to obtain your files!"这个 PasteBin 的链接内有更多的勒索内容和说明,要求用户为其指定的比特币钱包转账 2 比特币,并提供

Petya勒索软件变种Nyetya全球爆发

本文讲的是 Petya勒索软件变种Nyetya全球爆发,自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息. 勒索软件Nyetya概述勒索软件Nyetya概述 基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播.与之

Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件

2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致多个国家的大型企业受到Petya勒索软件攻击的影响 图1. 企业受到攻击数量最多的国家(Top 20) 与WannaCry勒索病毒类似,Petya同样利用"永恒之蓝"漏洞进行传播.但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装"永恒之蓝"补丁,Petya依然能够在企业内部进行传播. 初始感染方式 赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了

Petya勒索软件作者公布了主密钥 Petya勒索软件解密工具就快出来了

Petya作者公布了原始版本 Petya勒索软件 的主密钥,受该软件感染的受害者可使用这个密钥免费恢复加密文件.别着急,看清楚,是Petya,不是 NotPetya . 不要将Petya同最近出现的NotPetya(也称为"ExPetr"或"永恒Petya"(EternalPetya))混淆,后者极具破坏力,上个月在全球肆虐,对乌克兰和欧洲部分国家的多个目标发动了大规模攻击. Petya勒索软件作者公布了主密钥 Petya勒索软件的三个变种在世界各地感染了大量系统.

Check Point支招如何应对WannaCry攻击

就最近大规模爆发的WannaCry 勒索软件攻击,Check Point以色列捷邦安全软件科技有限公司的威胁情报及研究团队向全球机构提出忠告,切勿支付WannaCry所索取的赎金,因为目前尚没有任何付赎金后得到返还文件的个案报道,而最有效的抗击方法是从一开始就使得机构的网络系统不受感染. Check Point 表示:"WannaCry 采用的勒索软件比较新,大约是在2017年2月出现,然而随后产生变种,它的散播速度非常快,欧洲及亚洲的多家机构已经受到冲击,这充分显示勒索软件的巨大杀伤力,以及它

Petya勒索软件变种Nyetya全球爆发,思科Talos率先响应

自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息. 原文链接:http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html 勒索软件Nyetya概述 基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永

9招教你企业应如何防范勒索软件

本文讲的是9招教你企业应如何防范勒索软件,赛门铁克等安全厂商的安全分析师们一致认为,2016年受到勒索软件影响的企业增长了35%.但更令人担忧的是这些攻击最近在复杂程度和分布广度上的提升. 勒索软件的方式是:通过锁定系统的屏幕或加密用户的文档,来实现阻止或限制用户访问他们的系统,并向用户索要赎金.它能让你的业务停滞,并导致重大的经济损失. 与可以在网络潜伏几个月的APT攻击不同,勒索软件的效果是更加直接且具有侵犯性的. 勒索软件对攻击者的金钱.资源或技术复杂性成本需求不多.因而企业越来越关心勒索

卡巴斯基称席卷全球的勒索软件并非 Petya 变种,而是“ExPetr”!

  雷锋网(公众号:雷锋网)消息,6月28日,卡巴斯基实验室中国官方微信订阅账号称,初步研究显示,这种最新的威胁并不是之前报道中所称的是一种 Petya 勒索软件的变种,而是一种之前从未见过的全新勒索软件.尽管这种勒索软件同Petya在字符串上有所相似,但功能却完全不同,卡巴斯基将这种最新威胁命名为 ExPetr . 以下为卡巴斯基的公告全文: 卡巴斯基实验室的遥测数据显示,截止到目前,全球有约2000名用户遭到这种勒索软件的攻击.其中,俄罗斯和乌克兰的企业和组织遭受影响最为严重.此外,我们还在