尊敬的校园网用户:
6月27日23时,多家媒体报道称,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭受Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场等都不同程度的受到了影响。发现该情况后,云南省网络与信息安全信息通报中心立即对相关情况进行了分析,现将有关情况通报如下:
此次攻击者使用的是Petya勒索病毒的变种Petwarp,该病毒采用微软Office/wordpad远程代码执行漏洞(CVE-2017-0199)进行钓鱼攻击,利用微软Windows SMB漏洞(MS17-010,“永恒之蓝”漏洞)进行内网传播,综合采用了邮件、下载器和蠕虫的方式,首先通过邮件进行投放,之后释放下载器来获取病毒母体,形成初始扩散节点后,枚举内网中的电脑,并通过MS17-010漏洞和系统弱口令进行传播。Petwarp勒索病毒和传统的勒索软件不同,不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT)使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问,让电脑无法启动。如果想要恢复,需要支付价值相当于300美元的比特币。
为避免受到危害,云南省网络与信息安全信息通报中心提出以下临时处置建议:一是警惕陌生电子邮件,不要点击不明邮件中的链接或下载其附件,尤其是rtf、doc等格式的文件;二是立即更新Windows操作系统补丁,修复MS17-010等高危漏洞,关闭445、135等端口;三是将电脑口令修改为包括大小写字母、数字和特殊字符且不少于12位的强口令,内网中存在使用相同账号、密码情况的电脑请立即修改密码;四是未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作;五是360天擎(企业版)、360安全卫士和腾讯电脑管家等安全软件已可拦截查杀Petya勒索病毒,建议安装并立即将病毒库升级至最新。六是对重要数据及时进行备份。七是禁用Windows操作系统下的管理控件WMI服务。
MS17-010补丁下载地址为:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
CVE-2017-0199补丁下载地址为:
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
云南省网络与信息安全信息通报中心将对Petya勒索病毒予以持续关注,新情况及时通报。
学校办公教学计算机如发现感染该病毒,请使用人及时与学校信息技术中心联系,由信息技术中心协助后续技术处理工作。
联系电话:3694915 或 联系肖老师小号:686399
信息技术中心
2017年6月30日