华为全面解析PetrWrap勒索软件，巧妙应对快准狠！

“

北京时间6月27晚间，一款勒索软件席卷欧洲，其他国家和地区也有感染 告。据统计，英、法、美、德有超过2000个电脑受到感染，重灾区为乌克兰，其重要银行和政府首脑计算机遭到了该勒索软件的攻击。

”

业内很多安全厂商认为该勒索软件为Petya变体，并将其命名为“PetrWrap”，但也有安全厂商认为这是一款全新的勒索软件，比如卡巴斯基将该勒索软件命名为“ExPetr”。

攻击影响

一旦遭受攻击，该勒索软件会加密硬盘的MFT并修改MBR，然后在系统的定时任务中增加计算机重启任务。一段时间后，系统会自动重启。重启过程中，勒索软件会仿冒磁盘检查，并对磁盘进行加密操作。然后提示用户支付$300的比特币，否则无法正常使用系统。

攻击途径

经过华为未然实验室持续监测分析发现：勒索软件首先通过电子邮件感染内 用户，具体方法是通过钓鱼邮件发送含有CVE-2017-0199漏洞的RTF文档。当用户不小心打开该恶意文档后，用户电脑中便自动执行恶意代码，加载该勒索软件。

当该勒索软件登陆内部主机后，通过下面两种方法进行内 的横向传播：

?通过破解系统的弱口令进行传播；

?利用“永恒之蓝”漏洞（MS17-010）进行传播。

▲ 勒索软件传播示意图

华为教你四步应对法

1F

不要打开可疑邮件

利用钓鱼邮件进行传播是勒索软件感染的一个常用方法，用户应加强安全意识，在任何时候，遇到来历不明的邮件，或携带不明附件和不明链接的邮件，请勿打开。

2F

更改系统口令

为避免系统口令被破解，使用弱口令的用户应立即修改系统密码，设置高强度密码。

3F

更新漏洞补丁

? 针对CVE-2017-0199漏洞，请及时更新如下补丁：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

? 针对“永恒之蓝”(MS17-010)漏洞，请及时更新如下补丁：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

4F

临时措施

【1】关闭139，445端口，此前我们针对 WannaCry 已经提供过具体方法。

【2】关闭WMI服务，步骤如下：

?运行“services.msc”。

?双击“Windows Management Instrumentation”。

?停止相应服务。

【3】设置KillSwitch。

?已经有安全专家为用户写好了脚本：

https://download.bleepingcomputer.com/bats/nopetyavac.bat

事后应对，不如防患于未然

基于传统的以防御为中心的安全防护体系已不能有效防御未知威胁，针对勒索软件仅仅依靠签名的更新也是不够的，因此需要建设以未知威胁检测为核心的安全防御体系。

▌华为安全精准检测未知威胁

华为FireHunter6000沙箱通过病毒扫描、信誉扫描、静态分析和虚拟执行等技术，以及独有的行为模式库技术，根据情况分析给出精确的检测 告，实现对未知恶意文件的检测。配合其他安全设备，能快速对高级恶意文件进行拦截，有效避免未知威胁攻击的迅速扩散，避免企业核心信息资产的损失，特别适用于金融、政府机要部门、能源、高科技等关键用户。

?50+文件类型检测，全面识别未知恶意软件；

?4重纵深检测，准确性达99.5%以上；

?秒级联动响应，快速拦截未知恶意软件。

此次勒索软件借助两个重要漏洞进行传播：CVE-2017-0199和MS17-010，这两个漏洞均为已知漏洞，华为安全产品可以有效检测携带CVE-2017-0199利用代码的恶意文档和针对MS17-010漏洞利用的蠕虫感染流量。

通过还原邮件流量并将提取出的邮件附件送检，华为FireHunter6000沙箱可以有效捕获邮件附件中的恶意RTF文档，并识别其中如Petya勒索软件及可疑的 络通讯活动：

▌华为用户如何获取防护能力？

华为入侵防御相关产品亦可检测针对CVE-2017-0199和MS17-010漏洞的攻击，请用户升级IPS特征库来获得防护能力：

标题

内容

备注

IPS签名库版本

20170628xx

xx是根据不同型 的编码，日期比这个库新的版本都可以防护此漏洞。

IPS签名ID

372910 372912 372913

Microsoft Office OLE2Link 远程代码执行漏洞。

支持的设备类型

USG6000/9500系列，Eudemon8000E系列，NIP6000以上系列产品

具体情况，请参考IPS签名库下载 址。

IPS签名库的下载地址

http://sec.huawei.com/

–

升级方法

联 设备可以自动升级，若需手动升级，请从上述地址下载离线升级包。

–

此外，我们仍然建议用户按照上一章的建议升级系统补丁，以修复漏洞，从根本上消除被攻击的可能。