原文鏈接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/?platform=hootsuite

未完全按原文翻譯。

在2017年6月27日,一款勒索軟件開始在歐洲大范圍傳播。我們注意到攻擊從烏克蘭開始,超過12,500臺機(jī)器遭到威脅。隨后勒索軟件傳播超過64個國家,包括比利時,德國,俄羅斯和美國。

這款新的勒索軟件具備蠕蟲特性,使得它可以通過網(wǎng)絡(luò)對外傳播?;谖覀兊难芯?,這款新的勒索軟件是Ransom:Win32/Petya的一個變種,較之前的版本更加附加和強(qiáng)大。

為了保護(hù)用戶,我們發(fā)布了更新補(bǔ)丁,用戶可以到Malware Protection Center去下載。

0.1 傳送和安裝

最初的攻擊起源于烏克蘭的一家名為M.E.Doc的公司,微軟根據(jù)相關(guān)證據(jù)證明勒索軟件的下載安裝使用了 “軟件供應(yīng)鏈攻擊”方式。

我們檢測到MEDoc軟件的更新程序EzVit.exe執(zhí)行了一個命令行命令,在6月27日10:30左右。下圖演示了執(zhí)行流程,但是EzVit.exe執(zhí)行惡意命令的原因目前還未知。

平面設(shè)計培訓(xùn),網(wǎng)頁設(shè)計培訓(xùn),美工培訓(xùn),游戲開發(fā),動畫培訓(xùn)

Petya

0.2 單勒索軟件,多方位傳播技術(shù)

這個勒索軟件,起初只感染了一臺電腦,然后通過網(wǎng)絡(luò)對外傳播。它使用的到的基本技術(shù)包括:

.竊取憑證或者重用當(dāng)前會話\
.通過文件共享在內(nèi)網(wǎng)傳播惡意文件\
.通過合法途徑執(zhí)行負(fù)載,或者利用SMB漏洞(未打補(bǔ)丁的機(jī)器)

網(wǎng)友評論