名为「Petrwrap」的勒索软件攻击正在全球及欧洲扩散,影响多间机构,包括政府和公用事业机构。
跟上月「WannaCry」勒索软件相类似,此攻击是针对 Windows系统,并于装置受感染后传播至其他装置。根据现有资料,「Petrwrap」是透过仿冒诈骗电邮于互联网间蔓延,该勒索软件也能够利用「WannaCry」攻击手法相同的 SMB 漏洞传播。连接网络并已安装SMB 漏洞修补程式的Windows系统,亦会被「Petrwrap」透过一些 Windows 系统的正常功能,包括「Windows Management Instrumentation Command-line (WMIC)」和「PsExec」入侵。该SMB 漏洞可以经 Microsoft 安全公告 MS17-010 内所发布的相关修补程式堵塞。
所有 Windows 系统应尽快完成我们较早前保安警报 (A17-05-04 和 A17-03-03) 中建议的相关安全更新。鉴于使用 WMIC 和 PsExec 须要网域管理员权限,系统管理员应将 WMIC 和 PsExec 限定只供获授权的资讯科技支援人员使用。由于情况正不断发展,用户应加强紧急应对措施,以防御勒索软件攻击,保障电脑以免受到攻击所影响。请立即采取以下行动:
(a) 确保已备份电邮和其他资料,并定期执行备份工作;
(b) 不要把备份连接至电脑,并加以稳妥看管,以避免备份遭受网上袭击、遗失或被盗窃;
(c) 检查及更新抗恶意程式码软件及识别码至最新版本;
(d) 为所有 Windows 系统安装最新的保安修补程式;及
(e) 不要开启可疑的电邮、附件及超连结。
如果不幸受到感染,请立即切断受感染电脑的网络连线,并尽快向香港电脑保安事故协调中心报告(电话:8105 6060,电邮:hkcert@hkcert.org)。
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
https://securelist.com/schroedingers-Petrwrap/78870/