Loading...

Knowledge Center


抵御经过修改的 Petya 勒索软件变体(2017 年 6 月)
Technical Articles ID:   KB89540
Last Modified:  2017/09/5
Rated:


Environment

使用 DAT 的 McAfee 产品

注意:本文仅适用于迈克菲企业类产品。若需要迈克菲消费者或中小企业产品的信息或支持,请访问 https://service.mcafee.com
适用于 Petya 的消费者文章:TS102703

Summary

McAfee 已发现企业环境中检测到一个经过修改的 Petya 勒索软件变体(也称为 PetrWrap、PetWrap、Petya.A、Petja)。

  • 为此,McAfee 发布了 Extra.DAT(本文已随附)以涵盖此威胁。
     
  • McAfee 还发布了一个涵盖 Petya 的紧急 DAT。 后续 DAT 也会相应纳入。
    已涵盖的最低 DAT:
     
    • VSE (8574) 或更高版本
    • ENS (3025) 或更高版本
       
  • 本文随附的 Extra.DAT 包含在如上所示的 DAT 中。如您尚未更新到如上所示的 DAT,则您应继续使用本文随附的 Extra.DAT。
     
  • McAfee 还在(采用设置的)Global Threat Intelligence (GTI) 文件信誉中检测到此威胁。
 

点此阅读 McAfee 的观察和分析:https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire

当有其他信息可用时,本文将会更新。请继续关注此文档的更新。

本文的最近更新

要在本文更新时收到电子邮件通知,请单击页面右侧的订购。您必须登录后才能订购。

日期 更新
2017 年 7 月 20 日 添加了客户还会搜索的同义词。
2017 年 7 月 19 日 更正了有关 PSExec 的信息。
2017 年 7 月 3 日 更新了建议的 VirusScan Enterprise 和 Endpoint Security 访问保护规则,以更有效地针对这一特定的 Petya 变体。
2017 年 6 月 28 日 17:30 GMT 添加了有关 ENS DAT (3025) 的信息。
2017 年 6 月 28 日 12:45 GMT 添加了有关紧急 DAT 8574 的信息。
2017 年 6 月 28 日 12:10 GMT 添加了指向 McAfee 的观察和分析的链接。
2017 年 6 月 28 日 1:55 GMT 添加了含有更新的覆盖范围的 Network Security (NSP) 用户定义的特征码 (UDS) 的相关信息。
2017 年 6 月 28 日 0:40 GMT 更新了现有特征码,即添加了 0x43c0bd00- NETBIOS-SS: MS17-010 SMB Remote Code Execution (Eternal Tools and WannaCry Ransomware)
2017 年 6 月 27 日 22:40 GMT
  • 添加了 VSE 和 ENS 的访问保护规则。
  • 相关信息部分中中添加了更多资源。
2017 年 6 月 27 日 21:30 GMT
  • 部分用户报告看不到更新后的 Extra.DAT,因此我们使用新名称重新附加了该 DAT。正确的文件名应为 EXTRADAT.zip。
  • 添加了 McAfee NSP 的 Petya 覆盖范围。
2017 年 6 月 27 日 20:23 GMT 更新了新的 Extra.DAT 文件。


此威胁显现出以下症状:

  • 貌似通过远程桌面协议 (RDP) 和/或服务器消息块 (SMB) 协议进行传播。
     
  • 勒索软件可能会在受感染的 PC 上显示以下消息:

    Repairing file system on C:(正在修复 C 上的文件系统:)

    The type of the file system is NTFS.(文件系统类型为 NTFS。)
    One of your disks contains errors and needs to be repaired. (其中一个磁盘包含错误,需要进行修复。)This process may take several hours to complete. (此过程可能需要数小时才能完成。)It is strongly recommended to let it complete.(强烈建议您完成此过程。)

    WARNING: DO NOT TURN OFF YOUR PC! (警告:切勿关闭 PC!)IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! (如中止此过程,所有数据都可能会遭到破坏!)PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!(请确保接通电源!)

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%)(CHKDSK 正在修复第 xxxxx 个扇区(总共 xxxxxxxx 个)(x%))


     
  • 加密后,受到影响的系统可能会提示用户进行重新启动。重新启动后,可能会显示类似如下内容的勒索软件屏幕:



     
  • 当前已知受到影响的扩展包括:
     
    .3ds、.7z、.accdb、.ai、.asp、.aspx、.avhd、.back、.bak、.c、.cfg、.conf、.cpp、.cs、.ctl、.dbf、.disk、.djvu、.doc、.docx、.dwg、.eml、.fdb、.gz、.h、.hdd、.kdbx、.mail、.mdb、.msg、.nrg、.ora、.ost、.ova、.ovf、.pdf、.php、.pmf、.ppt、.pptx、.pst、.pvi、.py、.pyc、.rar、.rtf、.sln、.sql、.tar、.vbox、.vbs、.vcb、.vdi、.vfd、.vmc、.vmdk、.vmsd、.vmx、.vsdx、.vsv、.work、.xls、.xlsx、.xvd、.zip

Solution

优先的预防操作为使用​MS17-010 更新所有系统(如尚未包含该补丁)。
 

McAfee NSP 的 Petya 勒索软件覆盖范围
现有特征码:
  • 0x43c0bd00- NETBIOS-SS: MS17-010 SMB Remote Code Execution (Eternal Tools and WannaCry Ransomware)
  • 0x43c0b800- NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability (CVE-2017-0143)   
  • 0x43c0b400- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0144)   
  • 0x43c0b500- NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145) 
  • 0x43c0b300- NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS: Windows SMBv1 information disclosure vulnerability (CVE-2017-0147)  
  • 0x451e3300- HTTP: Microsoft Office OLE Arbitrary Code Execution Vulnerability (CVE-2017-0199)
NSP 研究团队创建了用户定义的特征码 (UDS),其包含经过更新的覆盖范围。UDS 可从 KB55447 下载。

上述文章仅为 ServicePortal 注册用户提供。

要查看注册文章,请:
  1. 登录到 ServicePortal:http://support.mcafee.com
  2. 在主页上的搜索知识中心字段中键入该文章 ID。
  3. 单击搜索或按 ENTER 键。


VirusScan Enterprise (VSE) 和 Endpoint Security (ENS) 的访问保护规则
下列 VSE 和 ENS 访问保护规则可帮助抵御该恶意软件。 McAfee 已更新建议的 AP 规则,以便能更有效地针对这一特定的 Petya 变体。

注意:拥有这些访问保护规则不表示无需实施 Extra.DAT。它们的用途在于帮助抵抗恶意软件,但是并不会阻止在系统上创建或执行恶意软件负载。 这两种访问保护规则会阻止 undll32.exe 启动任何 md.exe 实例,还可防止创建 Microsoft Technet 的 PSExec 实用工具。 不过,这样并不会阻止对 PSExec 原始文件名的下载和/或保存,因此管理员仍可按需使用该实用工具。
  
VSE 访问保护规则
要包含的进程:rundll32.exe
要排除的进程:
要阻止的文件/文件夹:cmd.exe
操作:阻止执行

注意:这样会阻止名为 rundll32.exe 的进程执行任何 cmd.exe 实例(此即为恶意软件的核心行为之一)。 不过,这也会阻止可能会执行相同行为的所有合法软件,例如自定义脚本。
 
要包含的进程:*
要排除的进程:
要阻止的文件/文件夹:**\PSEXESVC.EXE
操作:阻止创建

注意:这样会阻止任何进程创建 PSExec 的远程服务。阻止此文件创建可帮助阻止恶意软件负载的复制过程中会用到的 PSExec 复制。这不会阻止管理员将 PSExec 的任何新副本保存到已应用此规则的系统,但是会阻止在目标系统上创建 PSEXESVC.EXE,继而会阻止使用 PSExec(无论是出于恶意还是正常远程管理用途使用 PSExec 均如此)。
 
 
ENS 访问保护规则
创建一条包含状态为“包括”、文件名或路径为 rundll32.exe 的新规则
创建一条类型为“文件”、目标包含 cmd.exe 的子规则
选择用于阻止执行的操作
 
创建一条包含状态为“包括”、文件名或路径为 * 的新规则
创建一条类型为“文件”、目标包含 **\PSEXESVC.EXE 的子规则
选择用于阻止创建的操作

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.