Check Point支招防御Petya勒索软件攻击 避免下一次攻击 原创

Check Point以色列捷邦安全软件科技有限公司的安全事故应对小组一直关注由Petya恶意软件变体引发的多起全球大型感染威胁。Petya在2016年首度肆虐，目前正在用户网络中横向移动策动攻击，它利用危险漏洞“EternalBlue”进行传播，这与在五月爆发的WannaCry攻击相同。它首先对乌克兰的金融机构发起攻击，之后迅速蔓延，特别是在欧洲、美洲和亚洲。

Petya勒索软件像先前发生的WannaCry攻击一样迅速在企业网络中蔓延。然而，它有一点与WannaCry及其它勒索软件不同， Petya不是对受感染的计算机上的个别文件进行加密，而是对计算机的整个硬盘驱动器进行加密。

Petya攻击事件簿

此次勒索软件攻击从乌克兰开始，并且给整个国家的关键基础设施造成了巨大的破坏，之后攻击蔓延至欧洲，感染了众多企业。根据猜测，这轮Petya的感染源自乌克兰的会计软件供应商M.E. Doc 的软件更新，软件更新包被推送给公司的客户，但M.E. Doc对此否认。

在攻击开始的24小时内，受害人支付赎金后也无法解锁文件，黑客使用的电子邮件账号已经被邮箱服务提供商冻结，黑客无法访问存放赎金的比特币钱包。据悉，黑客收到的赎金不到10,000美金比特币。

在Petya 攻击的同时，Check Point研究小组监测到Loki bot通过受感染的RTF文件进行传播，该文件为受感染的设备安装了凭证窃取应用程序。但是，目前这两个攻击似乎并没有直接的联系。

攻击带来的警示

从最近的几起全球勒索软件攻击中，Check Point总结出三点供企业参考：

• 这次攻击原本是可以避免的，并且未来的攻击也是可以避免的。超过93%的企业没有部署现有、能抵御这类攻击的保护措施，因此勒索软件传播如此之快也不足为奇。如此看来，企业必须部署能抵御该类网络攻击的解决方案，并且实时更新补丁。
• 公司、政府和组织的领导者倡导网络安全刻不容缓。这些全球攻击表明，我们必须对未来的网络安全加大投入。从政府层面由上至下地部署现代网络安全技术，让他们免受侵害至关重要。我们知道这些攻击会再次且持续发生，所以需要领先一步，防范未然。
• 碎片化的安全保护不可取。太多的零散技术是在机构受到侵害后才集中解决有关攻击，这无疑是治标不治本。解决不同规模机构在各个领域的安全问题需要部署一个统一的安全架构，Check Point Infinity就是其中一种，旨在先发制毒，在攻击没有发生前已经做好防御。

如何做好防御工作？

这轮勒索攻击显示出两个趋势：第一，恶意软件的新变体能以极快的速度在全球范围内传播。第二，尽管有WannaCry的先例，很多公司仍然没有做好充足准备，防止同类型的攻击渗透网络。这些攻击有巨大隐患，从乌克兰的关键基础设施受到的影响可窥一斑。并且，感染快速传播的后果是严重影响日常生活，重要服务设施瘫痪，干扰正常秩序。

立即采用全部安全补丁

事实上被Petya和WannaCry勒索软件利用的漏洞，其有关的安全补丁在几个月前已经发布，各个机构应立即为其网络安装这些补丁。同时，当新补丁推出时，他们需要确保实时更新。

下一代威胁防御抵抗攻击

企业需要在攻击发生之前做好预防。要应对此等攻击，等它们发生之后再去监测为时已晚，损失已经造成。下一代威胁防御能在攻击进入网络之前扫描、封锁和过滤可疑文件内容，这一点十分关键。同时，工作人员接受安全教育也非常重要，要让他们意识到未知来源的邮件，或者看似来自熟人的可疑邮件均有潜在风险。