昨天，烏克蘭遭受大規(guī)模網(wǎng)絡(luò)攻擊，其多家銀行和公司，以及烏克蘭首都較大的機場的計算機網(wǎng)絡(luò)出現(xiàn)問題。據(jù)Symantec安全公司分析，此次攻擊中出現(xiàn)的Petya勒索病毒，同樣利用了NSA Eternal Blue漏洞。PT Security發(fā)現(xiàn)了阻止Petya勒索病毒運行的Kill Switch，US-Cert及綠盟科技等多家機構(gòu)發(fā)布預(yù)警通告。

當?shù)貢r間27日烏克蘭遭遇攻擊

據(jù)報道, 政府大樓里的電腦也都離線了。該國的副首相,Pavel Rozenko在 facebook 上發(fā)布了一張電腦圖片，顯然電腦啟動出現(xiàn)問題了。

“知道嗎，我們的網(wǎng)絡(luò)似乎也在慢下來!這張照片是在所有的內(nèi)閣電腦屏幕上, “

基輔當局告訴文傳電訊社烏克蘭通訊社。安全部隊說, 情報部門正在調(diào)查網(wǎng)絡(luò)攻擊。

“計算機在政府大樓里不起作用,”

烏克蘭國家銀行表示, 銀行和其他金融機構(gòu)已經(jīng)對此次襲擊事件發(fā)出警告。TV and radio的首席執(zhí)行官萊克絲說, 24 頻道已經(jīng)受到攻擊, 其部分計算機設(shè)備受到影響。

Symantec證實Petya勒索病毒 同樣利用了NSA Eternal Blue漏洞

據(jù)稱, 攻擊中使用了一種勒索病毒。有一個截圖張貼在媒體公司的網(wǎng)站上, 要求發(fā)送300美元的比特幣到某個地址。

Nova Poshta (新郵件) 交付和物流公司在 facebook 發(fā)布聲明稱, 他們已經(jīng)受Petya.A病毒的影響 。來自Symantec的消息稱，Petya勒索病毒，如同 Wannacry勒索病毒 一樣，同樣利用了NSA Eternal Blue 漏洞，而這個情況也證實了之前多位專家的擔(dān)憂，到底還有多少個攻擊者在利用NSA泄露出來的漏洞及工具。

PT Security發(fā)現(xiàn)Petya勒索病毒的Kill Switch

該安全公司聲稱，找到了阻止Petya勒索病毒運行的辦法，在本地目錄中創(chuàng)建文件 “C:\Windows\perfc”

• 1.If the evil DLL name is “name.ext” (eg: perfc.dat), you need to create file: “C:\Windows\name” (without ext)
• 2. “Kill switch” will work, if Petya has already gained SeDebug<…> privileges.

烏克蘭遭受大規(guī)模網(wǎng)絡(luò)攻擊

Borispol和基輔機場的本地計算機網(wǎng)絡(luò)遭受到破壞，在庫奇馬網(wǎng)站上，到達和離開都顯示離線。機場官員說，航空導(dǎo)航系統(tǒng)正在毫無延誤地工作，飛機能夠準時到達和起飛。

美國Cert發(fā)布預(yù)警通告

US-CERT已收到Petya勒索病毒染全球的多個報告。勒索軟件是一種惡意軟件感染的計算機和限制用戶訪問受感染的機器，強迫受害者支付贖金來解鎖。建議個人和組織不要支付贖金，因為這不能保證恢復(fù)訪問。另外，使用未打補丁的和不支持的軟件，可能會增加的網(wǎng)絡(luò)安全威脅擴散的風(fēng)險，如勒索軟件發(fā)起的攻擊。

Petya勒索病毒加密感染W(wǎng)indows計算機的主引導(dǎo)記錄，使受影響的機器無法使用。開放源碼的報告表明， 勒索軟件利用服務(wù)器消息塊（SMB）的漏洞。US-CERT建議用戶和管理員再次回顧 微軟smbv1漏洞 問題，以及微軟安全公告ms17-010 。同時，我們也給出建議，如何較好地防止勒索感染，請參考 ta16-091a 。

綠盟科技發(fā)布預(yù)警通告

該Petya變種病毒還具備蠕蟲傳播特征，目前有證據(jù)表明其蠕蟲功能利用了永恒之藍（EternalBlue）漏洞，同時結(jié)合今年4月份曝出的Office 0day漏洞（ CVE-2017-0199 ），通過惡意RTF文件進行釣魚攻擊，此外結(jié)合綠盟科技安全事件響應(yīng)團隊以往對此類病毒的應(yīng)急處理經(jīng)驗，其往往還會通過多種應(yīng)用弱口令進行自動化攻擊，例如：RDP、WEB中間件、數(shù)據(jù)庫等。

臨時防護方案

1. 及時更新終端安全防護軟件及Windows安全補丁，重點檢查MS17-010補丁安裝情況
2. 利用威脅分析系統(tǒng)（TAC)檢測通過網(wǎng)頁、郵件或文件共享方式試圖進入內(nèi)部網(wǎng)絡(luò)的惡意軟件
3. 及時告知終端用戶盡量避免打開未知郵件中的鏈接或附件，謹慎從網(wǎng)絡(luò)下載各類可執(zhí)行程序

烏克蘭不平靜

據(jù)稱，在2016年12月，安全公司發(fā)現(xiàn)惡意軟件被用于攻擊烏克蘭變電站，當時綠盟科技曾發(fā)布分析報告稱， 攻擊者是Telebots組織 。在2017年，ESET公司發(fā)現(xiàn)該惡意軟件，并將其命名為Industroyer。隨后，該公司發(fā)布了分析報