Loading...

Knowledge Center


防禦經改造的 Petya 勒索軟體變體 (2017 年 6 月)
Technical Articles ID:   KB89540
Last Modified:  2017/9/5
Rated:


Environment

使用 DAT 的 McAfee 產品

注意: 此文章僅適用於 McAfee 商業和企業產品。如需更多 McAfee 消費者或小企業產品的詳細資料或支援,請前往 https://service.mcafee.com
Petya 的消費者文章:TS102703

Summary

McAfee 知道在企業環境中偵測到經改造的 Petya 軟索軟體變體 (也就是所謂的 PetrWrap、PetWrap、Petya.A、Petja)。

  • McAfee 發行了 Extra.DAT (附加於本文) 將此威脅納入涵蓋範圍。
     
  • McAfee 也發行了緊急 DAT 將 Petya 納入涵蓋範圍。 後續發行的 DAT 也會將涵蓋範圍納入。
    涵蓋此威脅所需的 DAT 最低版本:
     
    • VSE (8574) 以上版本
    • ENS (3025) 以上版本
       
  • 上述的 DAT 包含附加於本文中的 Extra.DAT。如果您尚未更新為上述的 DAT,則應繼續使用本文附加的 Extra.DAT。
     
  • McAfee 也在 Global Threat Intelligence (GTI) 檔案信用評價中偵測到此設定 (透過設定)。
 

請至以下位置參閱 McAfee 的觀察與分析:https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire

待釋出其他資訊後,本文內容將會更新。請持續留意本文內容的更新。

本文的最近更新

若要在本文更新后收到電子郵件通知,請按一下頁面右側的訂閱。 您必須登錄后方可訂閱。

日期 更新
2017 年 7 月 20 日 新增客戶也會搜尋的同義字。
2017 年 7 月 19 日 更正 PSExec 的相關資訊。
2017 年 7 月 3 日 更新 VirusScan Enterprise 與 Endpoint Security 的建議存取保護規則,以更有效地針對此 Petya 特有變體。
2017 年 6 月 28 日 17:30 GMT 新增 ENS DAT 相關資訊 (3025)
2017 年 6 月 28 日 12:45 GMT 新增緊急 DAT 8574 相關資訊。
2017 年 6 月 28 日 12:10 GMT 新增 McAfee 觀察與分析的連結。
2017 年 6 月 28 日 01:55 GMT 新增 Network Security (NSP) 使用者定義特徵碼 (UDS) 及更新的涵蓋範圍。
2017 年 6 月 28 日 12:40 GMT 更新現有特徵碼以新增 0x43c0bd00- NETBIOS-SS:MS17-010 SMB 遠端程式碼執行 (Eternal Tools 與 WannaCry 勒索軟體)
2017 年 6 月 27 日 22:40 GMT
  • 新增 VSE 與 ENS 的存取保護規則。
  • 在<相關資訊>一節中新增更多資源。
2017 年 6 月 27 日 21:30 GMT
  • 某些報告中沒有更新後的 Extra.DAT,因此我們以新的名稱重新附加。正確檔案名稱應為 EXTRADAT.zip。
  • 新增 Petya 的 McAfee NSP 涵蓋範圍。
2017 年 6 月 27 日 20:23 GMT 以新的 Extra.DAT 檔案更新。


此威脅有以下徵兆:

  • 傳播方法似乎是透過遠端桌面通訊協定 (RDP) 和/或伺服器訊息區塊 (SMB) 通訊協定。
     
  • 勒索軟體可能會在受感染的 PC 上顯示以下訊息:

    Repairing file system on C: (正在修復 C: 上的檔案系統)

    The type of the file system is NTFS. (檔案系統類型為 NTFS。)
    One of your disks contains errors and needs to be repaired. (其中一個磁碟發生錯誤,必須修復。)This process may take several hours to complete. (此程序需花費數分鐘時間完成。)It is strongly recommended to let it complete. (強烈建議讓它完成。)

    WARNING: DO NOT TURN OFF YOUR PC! (警告:不要關閉您的 PC!)IF YOU ABORT THIS PROCESS, YOU COULD DESTROY ALL OF YOUR DATA! (如果您中止此程序,則會損毀您的所有資料!)PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN! (請確定電源線已插上!)

    CHKDSK is repairing sector xxxxx of xxxxxxxx (x%) (CHKDSK 正在修復磁區 xxxxx / xxxxxxxx (x%))


     
  • 加密後,受影響的系統會提示使用者重新開機。重新開機後,會顯示如下的勒索畫面:



     
  • 目前已知受到影響的延伸模組如下:
     
    .3ds、.7z、.accdb、.ai、.asp、.aspx、.avhd、.back、.bak、.c、.cfg、.conf、.cpp、.cs、.ctl、.dbf、.disk、.djvu、.doc、.docx、.dwg、.eml、.fdb、.gz、.h、.hdd、.kdbx、.mail、.mdb、.msg、.nrg、.ora、.ost、.ova、.ovf、.pdf、.php、.pmf、.ppt、.pptx、.pst、.pvi、.py、.pyc、.rar、.rtf、.sln、.sql、.tar、.vbox、.vbs、.vcb、.vdi、.vfd、.vmc、.vmdk、.vmsd、.vmx、.vsdx、.vsv、.work、.xls、.xlsx、.xvd、.zip

Solution

如果任何含 MS17-010 的系統尚未包含修補程式,則優先採取的防禦動作就是更新系統。
 

McAfee NSP 的 Petya 勒索軟體涵蓋範圍
現有的特徵碼:
  • 0x43c0bd00- NETBIOS-SS:MS17-010 SMB 遠端程式碼執行 (Eternal Tools 與 WannaCry 勒索軟體)
  • 0x43c0b800- NETBIOS-SS:Windows SMBv1 相同的 MID 與 FID 類型混淆漏洞 (CVE-2017-0143)
  • 0x43c0b400- NETBIOS-SS:Windows SMB 遠端程式碼執行漏洞 (CVE-2017-0144)
  • 0x43c0b500- NETBIOS-SS:Windows SMB 遠端桯式碼執行漏洞 (CVE-2017-0145) 
  • 0x43c0b300- NETBIOS-SS:Microsoft Windows SMB 超出範圍的寫入漏洞 (CVE-2017-0146)
  • 0x43c0b900- NETBIOS-SS:Windows SMBv1 資訊揭露漏洞 (CVE-2017-0147)  
  • 0x451e3300- HTTP:Microsoft Office OLE 任意程式碼執行漏洞 (CVE-2017-0199)
NSP 研究團隊已建立涵蓋範圍已更新的使用者定義特徵碼 (UDS)。UDS 可從 KB55447 下載。

前文提及的文章,僅限 ServicePortal 的註冊使用者閱讀。

若需瀏覽已登錄的文章:
  1. 請登入 ServicePortal:http://support.mcafee.com
  2. 在首頁的搜尋 Knowledge Center 中鍵入文章 ID。
  3. 按一下搜尋,或按下 Enter。


VirusScan Enterprise (VSE) 與 Endpoint Security (ENS) 的存取保護規則
下列的 VSE 與 ENS 存取保護規則可對抗惡意軟體。 McAfee 已更新建議的 AP 規則,以更有效地鎖定此 Petya 特有變體。

附註:這些存取保護規則未規避需要實作 Extra.DAT,其目的為協助對抗惡意軟體,但不會防止在系統上建立或執行惡意軟體承載。 這兩個存取保護規則將防止 rundll32.exe 啟動 cmd.exe 的任何例項,也將防止建立 Microsoft Technet’s PSExec 公用程式。 這將防止下載和/或儲存 PSExec 的原始檔案名稱,因此管理員仍可視需要使用此公用程式。
  
VSE 存取保護規則
要包含的處理程序:rundll32.exe
要排除的處理程序:
要封鎖的檔案/資料夾:cmd.exe
動作:封鎖執行

附註:這將防止名為 rundll32.exe 的處理程序執行 cmd.exe 的例項 (此為已知的惡意軟體核心行為), 這包括任何執行相同行為的合法軟體,例如自訂的指令碼。
 
要包含的處理程序:*
要排除的處理程序:
要封鎖的檔案/資料夾:**\PSEXESVC.EXE
動作:封鎖建立

附註:這將防止任何處理程序建立 PSExec 的遠端服務。防此建立此檔案可協助防止複寫 PSExec,此為用於複製惡意軟體承載的元件。這可防止管理員將 PSExec 的任何新複本儲存至已套用此規則的系統,但這會防止在目標系統上建立 PSEXESVC.EXE,進而防止使用 PSExec,無論它是遭惡意使用或用於正常的遠端管理。
 
 
ENS 存取保護規則
使用 rundll32.exe 作為為檔案名稱或路徑,以建立包含狀態為「包含」的新規則
建立類型為「檔案」的子規則,並針對目標包含 cmd.exe
選取可防止執行的動作
 
使用 * 作為檔案名稱或路徑,以建立包含狀態為「包含」的新規則
建立類型為「檔案」的子規則,並針對目標包含 **\PSEXESVC.EXE
選取可防止建立的動作

 

Attachment

EXTRADAT.zip
3K • < 1 minute @ broadband


Rate this document

Did this article resolve your issue?

Please provide any comments below

Beta Translate with

Select a desired language below to translate this page.