简体中文 | 繁體中文 | English 无障碍浏览 RSS帮助  邮件订阅
首页 政务公开 警务资讯 网上办事 警民互动  
  
 
您当前所在位置:首页 > 警务资讯 > 警方提示 > 网络病毒监测 保护视力色:
 
2017年第15期网络病毒监测
 来源:  发布时间:2017-07-14  点击数:  
 
    日前,国家计算机病毒应急处理中心通过对互联网的监测发现一个名为“Petya”的勒索软件病毒最新变种正在全球大范围蔓延,截至目前,该病毒感染范围包括俄罗斯、乌克兰、波兰、意大利、英国、德国、印度、法国、美国、白俄罗斯在内多国政府和重要行业组织(金融、交通运输、能源等)。根据最新的感染统计情况,我国境内11个省市也有少量主机遭受感染。
    我们分析发现,该勒索病毒仅感染微软Windows操作系统主机,该勒索软件进入系统后会对除Windows系统目录以外的所有目录中的DOC、PDF等65种文档、数据、程序代码等类型文件进行加密,并对磁盘主引导记录(MBR)进行加密劫持,并利用计划任务功能强制重启主机,重启后主机将无法正常进入操作系统,而是展示勒索信息,要求受害者按照勒索信息中的方式支付相当于300美金的比特币勒索金以换取解密密钥。该勒索软件采用了与今年5月爆发的“WannaCry”勒索病毒类似的网络传播方式,即通过利用“永恒之蓝”漏洞进行主动传播,一样采用AES128位与RSA2048位组合加密算法对用户文件进行加密,并且同样要求用户支付比特币形式的勒索金。
    除此之外,该勒索软件还具有如下特点:
    1、“Petya”的勒索信息只有英文版本;
    2、“Petya”中并没有“WannaCry”采用的“控制开关”(“Kill Switch”),一旦开始运行,就会立即进行破坏;
    3、“Petya”除加密文件外,还对磁盘主引导记录进行加密,造成系统无法正常启动;
    4、“Petya”除了利用“永恒之蓝”漏洞进行网络传播外,还会从被感染主机的内存中获取Windows系统用户名密码,并利用这些用户名密码,结合Windows系统自带的管理工具命令行(WMIC)和远程命令执行工具“PSEXEC.exe”尝试在内网中的其他主机上远程执行命令,实现进一步传播破坏。
    目前,该勒索病毒虽然对我国影响有限,但对国外多个重要信息系统造成了较大影响和损失,且其破坏能力较“WannaCry”更强,尚无解密和数据恢复方法。因此,国家计算机病毒应急处理中心建议:
    1、已经感染勒索病毒的主机立即进行隔离处置,防止感染范围进一步扩大;
    2、检查并确保所有Windows操作系统主机都安装了包括MS17-010补丁在内的所有安全更新补丁;
    3、对重要数据和系统进行备份,并确保备份数据的安全性和可用性;
    4、除非必须使用,建议关闭Windows操作系统中的Server和WMI服务;
    5、对防病毒产品进行更新并开启实时防护和主动防御功能。

【打印】【关闭】
 分享到:

下一篇2017年第14期网络病毒监测
相关新闻
 
 
·关于本站  ·网站地图  ·常见问题  ·联系我们  ·隐私声明  ·版权信息  ·网站管理  ·邮箱登入
浙江金网信息产业股份有限公司技术支持 Copyright 2017 宁波市公安局 NBSGAJ.GOV.CN ALL Rights Reserved
主办单位:宁波市公安局  承办单位:宁波市公安局行政审批处  版权所有:宁波市公安局
浙ICP备05008983号-1 地址:宁波市鄞州区中兴路658号 邮编:315040
建议使用1024*768分辨率/IE7.0或以上浏览器访问达到最佳效果
 
IOS(iphone) Android(安卓) 宁波公安官方微信
  扫描二维码下载宁波掌上公安APP