面對最新Petya攻擊 趨勢科技教你如何防範
【2017年6月28日台北訊】 針對昨日晚間開始橫掃全歐洲的勒索病毒Petya,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704)提出最新觀察,相比上個月造成全球大恐慌的WannaCry勒索病毒,Petya散播的管道主要有兩種:其一為同樣利用透過微軟的安全性弱點:MS17-010 – Eternalblue針對企業及消費者進行勒索攻擊,而與上次WannaCry不同的是,本次Petya入侵電腦後,會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定,並建立排程工作於一小時內重新開機,一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗,無法進行其他操作。
另一個值得注意的攻擊管道為其駭客利用微軟官方的 PsExec遠端執行工具,以APT(目標式)攻擊手法入侵企業,一旦入侵成功,將可潛伏於企業內部網路中並感染控制企業內部重要伺服器,進一步發動勒索病毒攻擊,對企業內部機密資料進行加密勒索,以達到牟利之目的。
如何防範:
- 更新修補程式:建議無論是企業用戶或是消費者,都建議安裝更新電腦作業系統最新的修補程式,尤其是跟安全性弱點MS17-010 EternalBlue 相關的安全性修補程式,此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 Windows Server Message Block (SMB) ,正確配置SMB服務才能免於受到此次攻擊影響,企業用戶也應嚴格管制擁有系統管理權限的使用者群組。
- 安裝資安防護軟體:目前趨勢科技的XGen™多層式企業端產品與消費端產品都已經自動將病毒碼更新,現已可有效防範此次的Petya威脅,消費者可用PC-cillin 2017 雲端版中的勒索剋星保護重要資料,而趨勢科技也提供企業用戶Patch Support的服務,可至此連結下載Support Petya Page(https://success.trendmicro.com/solution/1117665)
有關Petya 攻擊最新資訊,請參考趨勢科技部落格:《勒索病毒警訊!》Petya 大規模爆發中,三步驟防範感染。若趨勢科技客戶和合作夥伴們需要進一步的資訊或是有任何方面的疑問,請洽趨勢科技技術支援代表以尋求進一步協助。