新型勒索病毒超兇!付錢也拿不回檔案...快採這7步驟防範
▲Petya 感染示意圖。(圖/翻攝自twitter@0xAmit)
勒索病毒再起!繼5月12日一度肆虐全球的勒索病毒「WannaCry」後,6月27日開始,又有一支名爲Petya的勒索病毒開始大規模攻擊Windows作業系統,目前烏克蘭、俄羅斯、印度及歐洲等多個國家的政府機構、金融機構、運輸業及基礎設施如電廠等相繼受害。資誠企業管理顧問公司執行董事張晉瑞表示,以攻擊的方式來分別,在電腦遭到WannCry入侵後,使用者仍然可以使用電腦,只是無法存取被加密的檔案;然而一旦遭到此次新型病毒Petya入侵,整個硬碟就會被加密鎖死,電腦會直接無法使用,這也是Petya攻擊威脅遠較WannaCry嚴重的原因之一。
▼烏克蘭超市的電腦感染新勒索病毒「Petya」。(圖/路透社)
此外,由於Petya會對超過60種不同類型的檔案格式進行加密,如企業常用的C、C++、Python、VBScript等程式碼,以及VMDK、VMX、VBOX等虛擬主機檔案格式,甚至是常見的郵件格式如EML、MSG、PST等,都是受攻擊目標之一。相較於WannaCry,Petya的攻擊目標明顯更加針對企業環境,這也是企業需要更爲小心防範的原因。張晉瑞提醒,倘若企業平時沒有確實做好資料備份工作,一旦Petya入侵,後果將非常嚴重。據瞭解,Petya勒索訊息中所提及的電子郵件地址已停止使用,也就代表即使使用者付了贖金,也可能因爲聯絡不上駭客而拿不回解密金鑰,造成賠了夫人又折兵的狀況。張晉瑞建議,企業應考慮優先進行以下7個防範步驟:
1. 除了微軟於3月份公告的MS17-010重大安全性更新外,企業應確保於4月份及5月份經微軟公告的所有重大的安全性更新皆已部署執行完畢。2. 停用所有SMB外部存取權限(停用port 137, 139及445的內部網路存取)。3. 停用所有SMBv1的檔案分享服務。4. 禁止未經微軟數位簽章的Microsoft Office檔案巨集的執行權限。5. 禁止未執行MS17-010重大安全性更新的電腦主機連結企業核心網路,並禁止訪客網路(guest network)存取企業核心網路的所有權限。6. 強制所有電腦主機更新至最新的病毒資料庫。7. 隔離所有遭感染的設備,避免病毒傳播。
最後張晉瑞也強調,如同WannaCry,Petya的主要入侵管道依然是惡意郵件或惡意連結,最根本的防範方式,是應提升員工的安全意識,避免開啓惡意郵件附件或下載不明檔案,方能有效避免病毒入侵。