系统管理员须知,抵御Petya你行的!
来源:互联网 发布:splice js参数 编辑:程序博客网 时间:2024/06/07 01:31
6月27日晚间,一波新的勒索病毒袭来。经过跟进分析,这次攻击是Petya勒索病毒的新变种。该勒索病毒已在俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延,国内也已出现传播案例。
经过分析,该样本与之前收到广泛关注的WannaCry病毒相似,同样利用了MS17-010(永恒之蓝)漏洞进行传播。Petya勒索变种成功执行后,首先会尝试利用漏洞将自身复制在远程计算机下的C:\Windows目录中。但由于先前WannaCry的传播使厂商及用户进行了防范升级,该变种在传播途径上采取了邮件、下载器和蠕虫等多种组合传播方式以加快传播,其中使用了WMIC、PsExec等管理工具。
其中WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。PsExec 是一个轻型的 telnet 替代工具,它使您可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。WMIC和PsExec广泛被系统管理员,IT运维人员使用。
勒索样本通过释放一个临时文件 *.tmp,该临时文件为windows账户信息(用户名,密码)窃取工具,该黑客工具能获取到中毒计算机存储的登录其他系统和服务的用户名、密码,并将其传送给母体。
勒索样本利用获取到登录其他系统的用户名密码,枚举网络上的计算机,复制自身到网络计算机上,并尝试使用WMIC命令,在远程机器启动恶意DLL
同时勒索样本也会尝试使用本身释放的PsExec.exe控制网络中其他计算机,以达到传播自身的目的。
其中,无论是WMIC方式还是PsExec方式,如果获取到的用户信息不属于Administrator,该病毒都不可以实现传播。
综上分析,一旦拥有管理权限的域控制服务器被最新Petya变种攻陷,域控制服务器管理的计算机都会面临被感染的风险。
腾讯反病毒实验室建议
1、 除非真正需要,不要随意给用户开设管理员权限。
2、 加强对域控制服务器的安全防护,更新补丁。
3、 加固策略,禁止域控管理员帐号登录终端。
4、禁止使用域控管理员等高权限帐号运行业务服务,避免域控帐号泄露。
5、终端网络屏蔽非必要来源的入站445和135端口请求。
腾讯电脑管家可以成功拦截该勒索病毒,并针对该类型病毒开发了免疫工具,保证用户免受危害,用户可以前往腾讯电脑管家官网下载电脑管家和勒索病毒免疫工具。
WannaCry与Petya等勒索病毒以及变种的相继出现和爆发,表明目前对抗勒索病毒的形式严峻,任重道远,在保护用户数据安全的战场上,腾讯反病毒实验室会时刻战斗在最前线,同时也呼吁全行业可以协同作战,让勒索病毒无所遁形。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。
- 系统管理员须知,抵御Petya你行的!
- Windows--某些设置由你的系统管理员管理
- 【转载】七步开始你的 Linux 系统管理员生涯
- 7个习惯让你成为优秀的系统管理员
- 精简“入口”延缓“拥堵”Discuz!教你如何用最经济的方式抵御CC攻击
- 你须知的关键词稳定排在首页的方法
- 20款网管须知的工具,你知道几个?
- 合伙创业你须知的几个雷打不动原则
- 你须知道的30个CSS选择器
- 抵御php木马的攻击
- 抵御php木马的攻击
- 领导者必须抵御的诱惑
- 抵御未知的Web威胁
- 技术分析 | 新型勒索病毒Petya如何对你的文件进行加密
- 如果你作为linux的系统管理员你应该知道的是什么呢?
- 系统管理员的发展方向
- 系统管理员的修炼宝典
- 解决“你的用户已被停用,请向系统管理员咨询"问题
- lamp环境下php链接数据库出错之一直加载空白页解决方案
- 《计算机是怎样跑起来的》 矢泽久雄------附Z80微型计算机电路图
- kettle7.1 执行job或trans时出现的错误“Invalid byte 2 of 2-byte UTF-8 sequence
- Qualcomm 2x2 11ac Wi-Fi技术带来顶级Wi-Fi体验
- 携手GAIR大会,思必驰DUI开放平台即将全面亮相!
- 系统管理员须知,抵御Petya你行的!
- 独家专访 | 稀土掘金90后创始人阴明:最新融资2000万、估值1.3亿背后的技术社区
- 深度 | 硅谷是如何推动编程教育的?
- Python基础二(输入与输出)
- 数学基础
- 关于char强制转换成int到底是用0还是用1补位的猜想与检验
- SVD分解
- 微博整改:上传视频不得超过15分钟
- “奖学金” 中结构体和排序