同時(shí),在27號18點(diǎn)左右,騰訊云聯(lián)合騰訊電腦管家發(fā)現相關(guān)樣本在國內出現,騰訊云已實(shí)時(shí)啟動(dòng)用戶(hù)防護引導,到目前為止,云上用戶(hù)尚無(wú)感染案例,但建議沒(méi)打補丁用戶(hù)盡快打補丁避免感染風(fēng)險。
經(jīng)云鼎實(shí)驗室確認,這是一種類(lèi)似于“WannaCry”的勒索病毒新變種,傳播方式與“WannaCry”類(lèi)似,其利用EternalBlue(永恒之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進(jìn)行傳播,同時(shí)還具備局域網(wǎng)傳播手法。
騰訊云主機防護產(chǎn)品云鏡已實(shí)時(shí)檢測該蠕蟲(chóng),云鼎實(shí)驗室將持續關(guān)注該事件和病毒動(dòng)態(tài),第一時(shí)間更新相關(guān)信息,請及時(shí)關(guān)注,修復相關(guān)漏洞,避免遭受損失。
病毒特征
在中了該病毒后,電腦將會(huì )被鎖住,出現以下勒索提示信息,并要求支付300美元的比特幣才能解鎖。
影響范圍
通過(guò)分析,我們發(fā)現病毒采用多種感染方式,其中通過(guò)郵件投毒的方式有定向攻擊的特性,在目標中毒后會(huì )在內網(wǎng)橫向滲透,通過(guò)下載更多載體進(jìn)行內網(wǎng)探測。
網(wǎng)絡(luò )管理員可通過(guò),監測相關(guān)域名/IP,攔截病毒下載,統計內網(wǎng)感染分布:
- 84.200.16.242
- 111.90.139.247
- 185.165.29.78
- 111.90.139.247
- 95.141.115.108
- COFFEINOFFICE.XYZ
- french-cooking.com
網(wǎng)絡(luò )管理員可通過(guò)如下關(guān)鍵HASH排查內網(wǎng)感染情況:
- 415fe69bf32634ca98fa07633f4118e1
- 0487382a4daf8eb9660f1c67e30f8b25
- a1d5895f85751dfe67d19cccb51b051a
- 71b6a493388e7d0b40c83ce903bc6b04
防護方案
經(jīng)過(guò)確認,勒索病毒是利用EternalBlue進(jìn)行傳播,可以采用以下方案進(jìn)行防護和查殺:
1、騰訊云用戶(hù)請確保安裝和開(kāi)啟云鏡主機保護系統,云鏡可對海量主機集中管理,進(jìn)行補丁修復,病毒監測。
2、更新EternalBlue&CVE-2017-0199對應漏洞補丁
補丁下載地址:
http://www.catalog.update.microsoft.com/Search.aspxq=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
3、終端用戶(hù)使用電腦管家進(jìn)行查殺和防護
電腦管家已支持對EternalBlue的免疫和補丁修復,也支持對該病毒的查殺,可以直接開(kāi)啟電腦管家進(jìn)行防護和查殺。
