2017 年06 月30日

ExPetr将企业作为攻击目标

企业 威胁

目前,正有新一波加密勒索软件席卷全球。我们的专家将其命名为ExPetr(也有人将其称为Petya、PetrWrap及其他一些名称)。这种新型勒索软件与之前类似软件的不同之处主要在于,这次犯罪分子更精准地选择了攻击目标:大多数受害者是企业而不是个人用户。

最严重的是许多重要基础设施成为这款恶意软件的攻击对象。比如据报道,受此次攻击事件的影响,乌克兰基辅的鲍里斯皮尔机场有几架航班延误。更糟糕的是,用于监控发生核泄漏事故的切尔诺贝利核电站的辐射监测系统也因同样的原因而暂时关闭。

为什么重要的基础设施系统接二连三地受到加密勒索软件的攻击呢?这是因为它们直接与企业办公网络相连,或者能直接访问互联网。

应对措施

WannaCry一样,我们面临的是两个不同的问题:一是恶意软件初步渗透到公司的基础架构中,二是恶意软件在基础架构内部扩散。这两个问题应分开处理。

们的专家指出恶意软件通过多种途径渗透网络。有时候,它利用恶意网站(通过感染传播);用户会收到伪装成系统更新的恶意软件。有时候,感染会通过第三方软件更新传播,例如通过乌克兰会计软件M.E.Doc。换句话说,并没有单一的可预测入口点能进行防御。

因此,我们给出了下面的建议,可帮助防止恶意软件渗透到基础架构中:

  • 指示员工切勿打开可疑附件,也不要点击电子邮件中的链接(听上去理所当然,但还是有人会继续这样做);
  • 确保连接到互联网的所有系统都配备有包含行为分析组件的最新安全解决方案;
  • 检查安全解决方案的重要组件是否已启用(对于卡巴斯基实验室产品,请确保云辅助威胁情报网络”卡巴斯基安全网络”和行为引擎”系统监控”处于活动状态);
  • 定期更新安全解决方案;
  • 利用工具在单个管理控制台中控制和监视各个安全解决方案 – 不允许员工随意使用自己的设置。
  • 作为额外的保护措施(尤其是,如果使用的不是卡巴斯基实验室产品),可以安装免费的”卡巴斯基反勒索软件工具”,该工具能与其他大多数安全解决方案兼容。

    网络内扩散

    一旦与单个系统中挂钩后,相比WannaCry,ExPetr在本地网络中的扩散程度要小得多。这是因为它具有针对该特定目的的更丰富的功能。首先,它至少利用两个漏洞:修改的EternalBlue(WannaCry也会利用此漏洞)和EternalRomance(TCP端口445上的另一个漏洞)。其次,在感染用户具有管理权限的系统时,ExPetr将使用Windows Management Instrumentation技术或者使用PsExec远程系统控制工具开始自我传播。

    为了防止恶意软件在网络(尤其是关键基础架构系统)内扩散,您应该做到:

    • 将需要活动互联网连接的系统隔离到单独网段中;
    • 将其余网络拆分为具有受限连接的子网或虚拟子网,只连接需要用于技术过程的系统;
    • 了解卡巴斯基实验室ICS CERT专家在WannaCry爆发后总结的建议(特别是针对工业公司的鼓励);
    • 确保及时安装Windows关键安全更新。特别重要且相关的更新是MS17-010,它修复了EternalBlue和EternalRomance利用的漏洞;
    • 使备用服务器与网络中的其他服务器相隔离,建议不要在备份服务器上使用远程驱动器连接;
    • 使用”卡巴斯基企业网络安全解决方案”套件的”应用程序控制”功能或使用Windows AppLocker系统实用程序,禁止执行perfc.dat文件;
    • 对于包含多个嵌入式系统的基础架构,请部署专门的安全解决方案,”如卡巴斯基系统嵌入式系统安全解决方案”;
    • 尽可能配置”默认拒绝”模式以作为对系统的附加保护措施 – 例如,在使用很少修改的软件的实用程序计算机上。这可通过”卡巴斯基企业网络安全解决方案”套件的”应用程序控制”组件完成。
    • 与往常一样,我们强烈建议采用多层信息安全方法,包括自动软件更新(包括操作系统更新),反勒索软件组件以及用于监视操作系统中所有进程的组件。
    • 赎金付还是不付

      最后,一般情况下我们建议不要支付赎金,但我们知道有些公司会觉得别无选择。但是,如果数据已经被ExPetr勒索软件所感染,则不管怎样都不应该支付赎金。

      我们的专家发现这种恶意软件并没有保存安装ID的机制。而没有安装ID,攻击者就无法从中提取解密所需的信息。简而言之,他们根本没法帮助受害用户恢复数据。