威胁预警 | 多家企业感染MBR勒索病毒

北京时间6月27日，据国外社交媒体消息，乌克兰、俄罗斯两国的政府机构、机场、银行以及多家大型工业企业部分计算机系统遭受勒索病毒威胁，导致主机无法正常引导开机，严重影响了国家多个正常业务的运转；同时6月27日晚间，国内部分外企也确认有发现感染同样的勒索病毒。

根据勒索信息判断，该病毒为去年出现的新型勒索Petya的变种，Windows主机感染该病毒后，整个硬盘的MBR将会被覆盖，并导致系统崩溃蓝屏，而当用户重启计算机时，修改后的MBR会阻止Windows正常加载，而显示攻击者的勒索信息，在支付赎金获得解密秘钥前，用户将无法正常启动主机，从而失去文件和计算机的访问权限。

该Petya变种病毒还具备蠕虫传播特征，目前有证据表明其蠕虫功能利用了永恒之蓝（EternalBlue）漏洞，同时结合今年4月份曝出的Office 0day漏洞（CVE-2017-0199），通过恶意RTF文件进行钓鱼攻击，此外结合绿盟科技安全事件响应团队以往对此类病毒的应急处理经验，其往往还会通过多种应用弱口令进行自动化攻击，例如：RDP、WEB中间件、数据库等。

临时防护方案

1. 及时更新终端安全防护软件及Windows安全补丁，重点检查MS17-010补丁安装情况；

2. 利用威胁分析系统（TAC)检测通过网页、邮件或文件共享方式试图进入内部网络的恶意软件；

3. 及时告知终端用户尽量避免打开未知邮件中的链接或附件，谨慎从网络下载各类可执行程序。

声 明

=============

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP