《警訊》最新勒索病毒 PETYA 利用MS17-010 進行攻擊

正在大規模爆發中的Petya 勒索病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面，但其實就是病毒程式。

趨勢科技發現最新勒索病毒PETYA，利用相同於 WannaCry病毒的弱點進行攻擊，在歐洲已經造成災情。經分析顯示，此勒索病毒及WannaCry後續變種仍是透過微軟的安全性弱點：MS17-010 – Eternalblue進行攻擊。受駭電腦除了檔案可能被加密、開機磁區與檔案系統被破壞導致無法開機之外，若使用者電腦尚未完成安全性漏洞的修補，遭受攻擊的電腦也可能出現BSOD當機畫面，同時安全防護軟體亦會頻頻跳出偵測到病毒的警告訊息。在此，趨勢科技提醒用戶務必盡快完成安全性弱點的修補，用戶也可參考下列文章以獲取此勒索病毒的變種及元件等相關資訊及相對應的防護方案：

● 部落格相關文章

● 病毒相關資訊

●病毒感染流程:

趨勢科技產品與防護措施

由於此攻擊是針對已知的微軟安全性弱點進行，用戶可透過 GPO 或是微軟官方的說明停用 SMB。此外，我們強烈建議您盡快為作業系統安裝最新的修補程式，尤其是跟安全性弱點 MS17-010 相關的安全性修補。同時，我們建議用戶可根據端點電腦、信件、伺服器、閘道、網路安全等等採用分層式防護以確保有效防禦各個潛在入侵點。在此基準上，趨勢科技產品針對此類威脅已具備的防護能力，茲分述如下：

設定更新與下一代技術：
趨勢科技客戶使用最新版本 OfficeScan 與 WorryFree Business Security 請確保已啟用「預測性機器學習」功能（OfficeScan XG 版本、Worry-Free Services、CloudEgde）以及所有與勒索病毒相關的防護功能。相關設定資訊請參考此則 KB 文章
病毒碼：
趨勢科技已可偵測已知的病毒變種及元件，請確認您已更新病毒碼至最新版本(13.499.00)。
趨勢科技網頁信譽評等服務（Web Reputation Services，WRS）已加入已知的命令控制伺服器（Command and Control servers，C&C）。
趨勢科技 Cloud Edge 客戶請確認更新並套用以下規則
- IPS Rules 1133635, 1133636, 1133637, 1133638 SMB Microsoft MS17-010 SMB Remote Code Execution。
趨勢科技 Deep Security 與 Vulnerability Protection已釋出了防堵此漏洞的規則更新。建議客戶儘快下載並套用至最新的規則更新
- IPS Rules 1008224, 1008228, 1008225,1008285與1008306

Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities

趨勢科技 Deep Discovery Inspector客戶請確認已更新以下規則並監控是否偵測C&C連線
- DDI Rule 2383:CVE-2017-0144 Remote Code Execution SMB (Request)
趨勢科技 TippingPoint客戶請確認已更新以下規則

Mainline Filters 27931 and 27928 – Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks

趨勢科技強烈建議，請務必儘速套用軟體廠商釋出的重大修補更新。若客戶和合作夥伴們需要進一步的資訊或是有任何方面的疑問，請您與趨勢科技技術支援部門聯繫取得進一步的協助。

[趨勢科技技術支援聯絡方式 ]