勒索病毒的源头？疑似乌克兰的这个公司

2017年7月6日TOP云（zuntop.com）科技报道，据外媒报道，一名高级警官称，乌克兰警方周二没收了该国一家会计软件公司的服务器，因为该公司涉嫌传播导致全球很多大公司电脑系统瘫痪的勒索病毒。

乌克兰网络警察局长沙希利-德梅德尤克(Serhiy Demedyuk)称，为了调查上周发生的肆虐全球的勒索病毒攻击案，警方没收了乌克兰最流行会计软件开发公司M.E.Doc的服务器。

警方还在调查谁是真正的幕后黑手。乌克兰情报官员和安全公司声称，最初的一些勒索病毒是通过M.E.Doc公司发布的恶意升级程序传播的。对此，该公司予以了否认。

在警方没收M.E.Doc公司的服务器前，网络安全调查员已在周二找出了新的证据，证明此次勒索病毒攻击活动是一些高级黑客提前好几个月策划的结果。这些黑客将病毒插入到了M.E.Doc公司的会计软件中。

乌克兰在周二将其纳税日期推迟了一个月，以帮助被勒索病毒攻击的企业渡过难关。

安全机构详解新勒索病毒攻击模式

经过分析，反病毒实验室表示，该病毒样本与之前收到广泛关注的Wannacry病毒相似，同样利用了MS17-010(永恒之蓝)漏洞进行传播。Petya勒索变种成功执行后，首先会尝试利用漏洞将自身复制在远程计算机下的C:\Windows目录中。但由于先前Wannacry的传播使厂商及用户进行了防范升级，该变种在传播途径上采取了邮件、下载器和蠕虫等多种组合传播方式以加快传播，其中使用了WMIC、PsExec等管理工具。

其中WMIC扩展WMI(Windows Management Instrumentation，Windows管理工具)，提供了从命令行接口和批命令脚本执行系统管理的支持。PsExec 是一个轻型的 telnet 替代工具，它使您可执行其他系统上的进程，并且可以获得与控制台应用程序相当的完全交互性。WMIC和PsExec广泛被系统管理员，IT运维人员使用。

勒索样本通过释放一个临时文件 *.tmp，该临时文件为windows账户信息(用户名，密码)窃取工具，该黑客工具能获取到中毒计算机存储的登录其他系统和服务的用户名、密码，并将其传送给母体。

勒索样本利用获取到登录其他系统的用户名密码，枚举网络上的计算机，复制自身到网络计算机上，并尝试使用WMIC命令，在远程机器启动恶意DLL。同时勒索样本也会尝试使用本身释放的PsExec.exe控制网络中其他计算机，以达到传播自身的目的。

其中，无论是WMIC方式还是PsExec方式，如果获取到的用户信息不属于Administrator，该病毒都不可以实现传播。

综上分析，一旦拥有管理权限的域控制服务器被最新Petya变种攻陷，域控制服务器管理的计算机都会面临被感染的风险。

权威机构建议机构和个人分别这样防范

腾讯反病毒实验室给企业系统管理员提出建议：

一是，除非真正需要，不要随意给用户开设管理员权限。二是，加强对域控制服务器的安全防护，更新补丁。三是，加固策略，禁止域控管理员帐号登录终端。四是，禁止使用域控管理员等高权限帐号运行业务服务，避免域控帐号泄露。五是，终端网络屏蔽非必要来源的入站445和135端口请求。

而对于广大电脑用户，国家互联网应急中心昨日提出防护策略五点建议：

一是，不要轻易点击不明附件，尤其是rtf、doc等格式文件。二是，内网中存在使用相同账号、密码情况的机器请尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。三是，更新操作系统补丁(MS)。四是，更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁。五是，禁用WMI服务。