:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
病毒通告
分隔線
RANSOM_PETYA.SMA 病毒透過微軟弱點或釣魚郵件進行感染,請勿開啟任何可疑的郵件並提高警覺!(2017/06/29)
 
詳細描述:

該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。 並且還會搭配 EternalBlue 這個之前 WannaCry (想哭)勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統,就會利用 rundll32.exe 來執行其程式碼。 其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat 」的檔案內。 接下來,勒索病毒會新增一個排程工作,讓系統至少在一個小時之後就會重新啟動, 並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。 一開始,病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面,但其實就是病毒程式。 有別於一般勒索病毒的作法,該病毒並不會修改被加密檔案的副檔名。 它可加密的檔案類型超過 60 多種,但其主要目標為企業環境常用的檔案,至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。

HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

 
受影響系統:
  • Windows
 
解決辦法:

盡速更新CVE-2017-0199與CVE-2017-0145弱點更新程式:
(1) CVE-2017-0199 更新patch file如下,敬請用戶自行確認主機版本與透過windows update 程式進行更新Microsoft Update
(2) 更新CVE-2017-0145(MS17-010)
(3) 關閉WMI (windows Management Instrumentation) 遠端安裝。
(4) 若感染此病毒可參考防毒廠商參考步驟:Trendmicro

 
 
下框