新型勒索病毒超凶!付钱也拿不回档案...快采这7步骤防范
▲Petya 感染示意图。(图/翻摄自twitter@0xAmit)
勒索病毒再起!继5月12日一度肆虐全球的勒索病毒「WannaCry」后,6月27日开始,又有一支名为Petya的勒索病毒开始大规模攻击Windows作业系统,目前乌克兰、俄罗斯、印度及欧洲等多个国家的政府机构、金融机构、运输业及基础设施如电厂等相继受害。资诚企业管理顾问公司执行董事张晋瑞表示,以攻击的方式来分别,在电脑遭到WannCry入侵后,使用者仍然可以使用电脑,只是无法存取被加密的档案;然而一旦遭到此次新型病毒Petya入侵,整个硬碟就会被加密锁死,电脑会直接无法使用,这也是Petya攻击威胁远较WannaCry严重的原因之一。
▼乌克兰超市的电脑感染新勒索病毒「Petya」。(图/路透社)
此外,由于Petya会对超过60种不同类型的档案格式进行加密,如企业常用的C、C++、Python、VBScript等程式码,以及VMDK、VMX、VBOX等虚拟主机档案格式,甚至是常见的邮件格式如EML、MSG、PST等,都是受攻击目标之一。相较于WannaCry,Petya的攻击目标明显更加针对企业环境,这也是企业需要更为小心防范的原因。张晋瑞提醒,倘若企业平时没有确实做好资料备份工作,一旦Petya入侵,后果将非常严重。据了解,Petya勒索讯息中所提及的电子邮件地址已停止使用,也就代表即使使用者付了赎金,也可能因为联络不上骇客而拿不回解密金钥,造成赔了夫人又折兵的状况。张晋瑞建议,企业应考虑优先进行以下7个防范步骤:
1. 除了微软于3月份公告的MS17-010重大安全性更新外,企业应确保于4月份及5月份经微软公告的所有重大的安全性更新皆已部署执行完毕。2. 停用所有SMB外部存取权限(停用port 137, 139及445的内部网路存取)。3. 停用所有SMBv1的档案分享服务。4. 禁止未经微软数位签章的Microsoft Office档案巨集的执行权限。5. 禁止未执行MS17-010重大安全性更新的电脑主机连结企业核心网路,并禁止访客网路(guest network)存取企业核心网路的所有权限。6. 强制所有电脑主机更新至最新的病毒资料库。7. 隔离所有遭感染的设备,避免病毒传播。
最后张晋瑞也强调,如同WannaCry,Petya的主要入侵管道依然是恶意邮件或恶意连结,最根本的防范方式,是应提升员工的安全意识,避免开启恶意邮件附件或下载不明档案,方能有效避免病毒入侵。