DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

香港高防ip_香港高防服务器_帽子云服务器_精准

06-22 CC防护

香港高防ip_香港高防服务器_帽子云服务器_精准

上次更新时间:2017年7月3日

Petya\GoldenEye加密整个磁盘

Petya勒索软件的一个新变种,也称为Petrwrap、NotPetya或GoldenEye,借助于WannaCry勒索软件滥用的Windows SMBv1漏洞,在短短72小时内感染了全球30万个系统和服务器,正在迅速传播。Petya勒索软件通过网络钓鱼邮件发送,假装提供了一份简历,事实上,这是一个恶意滴管。确保您的用户意识到从未知来源打开附件的风险。

与大多数勒索软件不同,新的GoldenEye变种有两层加密:一层单独加密计算机上的目标文件,另一层加密NTFS结构。这种方法防止受害者的计算机在实时操作系统环境中启动并检索其数据。

就像Petya一样,GoldenEye对整个硬盘进行加密,并拒绝用户访问计算机。但是,与Petya不同的是,没有解决方法可以帮助受害者从计算机中检索解密密钥。它加密硬盘的主文件表(MFT)并使主引导记录(MBR)不可操作,通过获取有关文件名、大小的信息来限制对整个系统的访问,在物理磁盘上的位置。现在你应该做些什么来防止Pyya\NopeTyApple爆发。下面的进一步细节是:修补你的Windows系统以移除一个针对PyyAsReSaveSube的攻击向量。这是你在微软安全公告MS17-010的地址,并修补你的网络上的所有Windows客户端。微软已经在这个链接上发表了一篇很好的文章,里面有更多的背景信息,还包括一些关于他们正在做什么来阻止这个勒索软件的传播的信息。

Petya或Petrwap是通过利用NSA构建的Windows漏洞来传播的,这个漏洞被称为"永恒蓝",它针对SMBv1协议。虽然SMBv1是一个遗留协议,但它在最新的Microsoft操作系统中仍然可用,包括:

在应用修补程序的同时,cnetos防御ddos,防御ddos攻击的防火墙,您应该禁用SMBv1在您的网络上的使用。您可以通过在每个系统上的powershell中运行这些命令来实现这一点。有关如何在其他系统上禁用SMBv1的更多信息,cc攻击防御的产品,请参见此处。

创建一个名为C:\Windows\perfc的只读文件

一位名为Amit Serper的研究人员发现,NotPetya/Petya/Petna会搜索本地文件,如果该文件已存在于磁盘上,则会退出其加密例程。

为计算机接种疫苗,以便如果您无法感染此勒索软件的当前版本,只需在C:\Windows文件夹中创建一个名为perfc的文件并使其只读即可。如果您不确定如何执行此操作,请按照本指南或以下视频中的步骤操作。

避免向用户提供管理员访问权限

Peyta\GoldenEye首先加密计算机上的文件,然后尝试安装MBR引导工具包以加密驱动器的MFT。GoldenEye变种从加密用户的文件开始,就像普通的勒索软件一样。对于它加密的每个文件,GoldenEye在末尾随机添加一个8个字符的扩展名。

然后勒索软件用一个自定义引导加载程序修改用户的硬盘驱动器MBR(主引导记录)。Petya\GoldenEye勒索软件必须获得管理权限才能覆盖计算机的MBR(主引导记录)。确保您限制哪些用户对网络和本地PC具有管理员访问权限。您可以使用Microsoft本地管理员密码解决方案(LAPS)来管理加入域的计算机的本地帐户密码。

一旦获得计算机的管理员访问权限,然后,它会利用该功能征用网络上的其他计算机,或嗅探内存中存在的域管理凭据,以控制整个Windows网络。

检查网络上的可疑流量

还应检查网络流量是否存在与Microsoft SMB端口和外部端口相关的任何活动地址。SMB通常使用TCP端口445,这是用于最近勒索软件攻击的主要攻击向量之一。您可以使用核心交换机上的SPAN或镜像端口来监视网络流量。

下面的图片是一个需要注意的示例。我使用LANGuardian产品的Top Clients报告来显示TCP端口445上的所有连接,其中客户端IP地址是外部的。基于这些数据,我需要确保目标机器没有运行SMBv1,并且我还将阻止防火墙上的TCP 445访问。

受感染的机器还可能扫描网络以查找其他Microsoft客户端。注意以下行为

如何被动检测SMBv1在您的网络上的使用

即使您认为您已修补了网络上的所有系统,ddos流量攻击防御办法,阿里云收到ddos攻击如何防御,您仍应运行审核以检查与SMBv1相关的任何活动。一些网络设备可能有嵌入式操作系统,很容易丢失。一种方法是使用网络流量分析来检测是否存在试图使用SMBv1连接到其他系统的客户端。

我们自己的LANGuardian产品可用于报告SMBv1的使用情况,下面的视频中显示了一个示例。

我们将继续更新此帖子,了解有关此勒索软件的更多信息变体。

Petya的其他指标\n类型

注意网络上与这些IP地址相关的任何活动。如果您的网络上的任何本地系统正试图连接到这些系统,或者您通过与它们相关联的防火墙有任何入站活动,请检查它们。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/70111.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9276333访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X