新勒索病毒國內未爆發 企業和個人仍須分別這么防范

安全機構詳解新勒索病毒攻擊模式

經過分析，騰訊反病毒實驗室表示，該病毒樣本與之前收到廣泛關注的Wannacry病毒相似，同樣利用了MS17-010(永恒之藍)漏洞進行傳播。Petya勒索變種成功執行后，首先會嘗試利用漏洞將自身復制在遠程計算機下的C:\Windows目錄中。但由于先前Wannacry的傳播使廠商及用戶進行了防范升級，該變種在傳播途徑上采取了郵件、下載器和蠕蟲等多種組合傳播方式以加快傳播，其中使用了WMIC、PsExec等管理工具。

新一輪超強電腦病毒正在包括俄羅斯、英國、烏克蘭等在內的歐洲多個國家迅速蔓延。

其中WMIC擴展WMI(Windows Management Instrumentation，Windows管理工具)，提供了從命令行接口和批命令腳本執行系統管理的支持。PsExec 是一個輕型的 telnet 替代工具，它使您可執行其他系統上的進程，并且可以獲得與控制臺應用程序相當的完全交互性。WMIC和PsExec廣泛被系統管理員，IT運維人員使用。

勒索樣本通過釋放一個臨時文件 *.tmp，該臨時文件為windows賬戶信息(用戶名，密碼)竊取工具，該黑客工具能獲取到中毒計算機存儲的登錄其他系統和服務的用戶名、密碼，并將其傳送給母體。

勒索樣本利用獲取到登錄其他系統的用戶名密碼，枚舉網絡上的計算機，復制自身到網絡計算機上，并嘗試使用WMIC命令，在遠程機器啟動惡意DLL。同時勒索樣本也會嘗試使用本身釋放的PsExec.exe控制網絡中其他計算機，以達到傳播自身的目的。

其中，無論是WMIC方式還是PsExec方式，如果獲取到的用戶信息不屬于Administrator，該病毒都不可以實現傳播。

綜上分析，一旦擁有管理權限的域控制服務器被最新Petya變種攻陷，域控制服務器管理的計算機都會面臨被感染的風險。