名為「Petrwrap」的勒索軟件攻擊正在全球及歐洲擴散,影響多間機構,包括政府和公用事業機構。
跟上月「WannaCry」勒索軟件相類似,此攻擊是針對 Windows系統,並於裝置受感染後傳播至其他裝置。根據現有資料,「Petrwrap」是透過仿冒詐騙電郵於互聯網間蔓延,該勒索軟件也能夠利用「WannaCry」攻擊手法相同的 SMB 漏洞傳播。連接網絡並已安裝SMB 漏洞修補程式的Windows系統,亦會被「Petrwrap」透過一些 Windows 系統的正常功能,包括「Windows Management Instrumentation Command-line (WMIC)」和「PsExec」入侵。該SMB 漏洞可以經 Microsoft 安全公告 MS17-010 內所發布的相關修補程式堵塞。
所有 Windows 系統應儘快完成我們較早前保安警報 (A17-05-04 和 A17-03-03) 中建議的相關安全更新。鑒於使用 WMIC 和 PsExec 須要網域管理員權限,系統管理員應將 WMIC 和 PsExec 限定只供獲授權的資訊科技支援人員使用。由於情況正不斷發展,用戶應加強緊急應對措施,以防禦勒索軟件攻擊,保障電腦以免受到攻擊所影響。請立即採取以下行動:
(a) 確保已備份電郵和其他資料,並定期執行備份工作;
(b) 不要把備份連接至電腦,並加以穩妥看管,以避免備份遭受網上襲擊、遺失或被盜竊;
(c) 檢查及更新抗惡意程式碼軟件及識別碼至最新版本;
(d) 為所有 Windows 系統安裝最新的保安修補程式;及
(e) 不要開啓可疑的電郵、附件及超連結。
如果不幸受到感染,請立即切斷受感染電腦的網絡連線,並儘快向香港電腦保安事故協調中心報告(電話:8105 6060,電郵:hkcert@hkcert.org)。
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
https://securelist.com/schroedingers-Petrwrap/78870/