Semalt Expert –如何與Petya,NotPetya,GoldenEye和Petrwrp作戰?

Forcepoint安全實驗室將其稱為Petya爆發,但其他供應商正在為其使用替代詞和其他名稱。好消息是此示例已清除了鴨子測試,現在可以在磁盤上加密文件而無需更改其擴展名。您也可以嘗試加密主啟動記錄,並檢查其在計算機設備上的後效應。

支付Petya的贖金要求

Igor Gamanenko, Semalt ,建議您不要支付任何費用的贖金。

最好停用電子郵件ID,而不是向黑客或攻擊者支付贖金。他們的付款機制通常是脆弱且不合法的。如果您要通過BitCoin錢包支付贖金,攻擊者可能會在不通知您的情況下從您的帳戶中竊取更多錢。

這些天來,獲取未加密的文件變得非常困難,而不管解密工具將在未來幾個月內可用。感染媒介和保護聲明Microsoft聲稱,最初的感染供應商具有各種惡意代碼和不合法的軟件更新。在這種情況下,該賣方可能無法更好地檢測到該問題。

Petya的當前迭代旨在避免電子郵件安全和Web安全網關已保存的通信向量。已使用不同的憑證分析了許多樣本,以找出問題的解決方案。

WMIC和PSEXEC命令的組合比SMBv1攻擊要好得多。到目前為止,尚不清楚信任第三方網絡的組織是否會了解其他組織的規則和規定。

因此,我們可以說Petya給Forcepoint Security Labs研究人員帶來了驚喜。截至2017年6月,Forcepoint NGFW可以檢測並阻止攻擊者和黑客利用SMB的攻擊手段。

Deja vu:Petya Ransomware和SMB傳播功能

佩蒂亞疫情發生在2017年6月的第四周。它對多家國際公司產生了重大影響,新聞網站稱其影響是持久的。 Forcepoint安全實驗室已經分析並審查了與爆發相關的不同樣本。看來Forcepoint安全實驗室的報告還沒有完全準備好,該公司需要更多時間才能得出一些結論。因此,在加密過程和惡意軟件的運行之間將存在明顯的延遲。

鑑於病毒和惡意軟件會重新啟動計算機,因此可能需要幾天的時間才能顯示出最終結果。

結論和建議

在此階段很難得出結論和評估疫情的深遠影響。但是,這似乎是部署自蔓延勒索軟件的最終嘗試。到目前為止,Forcepoint安全實驗室的目標是繼續對可能的威脅進行研究。該公司可能很快會得出最終結果,但需要大量時間。一旦Forcepoint安全實驗室介紹了結果,就將揭示SMBvi漏洞的使用。您應該確保在計算機系統上安裝了安全更新。根據Microsoft的政策,客戶端應在會嚴重影響系統功能和性能的每個Windows系統上禁用SMBv1。