和 WannaCry 同一個漏洞!勒索病毒「Petya」變種再爆災情

目前正有一波大規模的 Petya 勒索病毒變種四處肆虐當中,尤其以歐洲最為嚴重。
評論
▲系統重新開機之後所顯示的磁碟檢查畫面與勒索訊息,photo credit: 趨勢科技
評論
 
▲系統重新開機之後所顯示的磁碟檢查畫面與勒索訊息,photo credit: 趨勢科技
▲勒索訊息畫面,photo credit: 趨勢科技

以下資訊來源為趨勢科技新聞稿及 官方部落格

目前正有一波大規模的 Petya 勒索病毒變種四處肆虐當中, 尤其以歐洲最為嚴重 。針對昨日晚間開始橫掃全歐洲的勒索病毒 Petya,趨勢科技 提出最新觀察,相比上個月造成全球大恐慌的 WannaCry 勒索病毒,Petya 散播的管道主要有兩種:

其一為同樣利用透過微軟的安全性弱點 MS17-010 – Eternalblue 針對企業及消費者進行勒索攻擊,而與上次 WannaCry 不同的是,本次 Petya 入侵電腦後,會修改電腦硬碟中的主要開機磁區 (Master Boot Record, MBR) 設定,並建立排程工作於一小時內重新開機,一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗,無法進行其他操作。

另一個值得注意的攻擊管道為其駭客利用微軟官方的  PsExec 遠端執行工具,以 APT ( 目標式 ) 攻擊手法入侵企業,一旦入侵成功,將可潛伏於企業內部網路中並感染控制企業內部重要伺服器,進一步發動勒索病毒攻擊,對企業內部機密資料進行加密勒索,以達到牟利之目的。

趨勢科技已將此變種命名為 RANSOM_PETYA.SMA,並建議一般使用者和企業機構應採取以下三個防範措施來避免感染:

  1. 套用 MS17-010 修補更新
  2. 停用 TCP 連接埠 445
  3. 嚴格管制擁有系統管理權限的使用者群組

此外,趨勢科技 XGen™ 防護當中的預測式機器學習以及其他勒索病毒相關防護功能,目前已可防止這項威脅並保護客戶安全。我們將繼續深入分析這項威脅,一有最新情況就會立即更新訊息。

感染過程

前面提到,該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。並且還會搭配 EternalBlue 這個之前 WannaCry(想哭) 勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統,就會利用 rundll32.exe 來執行其程式碼。其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat」的檔案內。

接下來,勒索病毒會新增一個排程工作,讓系統至少在一個小時之後就會重新啟動,並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。一開始,病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面,但其實就是病毒程式。有別於一般勒索病毒的作法,該病毒並不會修改被加密檔案的副檔名。它可加密的檔案類型超過 60 多種,但其主要目標為企業環境常用的檔案,至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。

▲感染過程示意圖,photo credit: 趨勢科技

▲感染過程示意圖,photo credit: 趨勢科技
▲感染過程示意圖,photo credit: 趨勢科技

勒索訊息當中的電子郵件地址早已停用,很可能付了錢之後就會沒有下文

除了同樣使用 EternalBlue 漏洞攻擊套件之外,該病毒與 WannaCry 病毒還有其他類似之處。此 Petya 變種的勒索程序相對簡單,同樣也是使用寫死的比特幣收款位址,因此駭客需花費較多的手動作業來提供解密金鑰。反觀之前的 Petya 變種在付款流程畫面設計上較為成熟。歹徒勒索的贖金是每位使用者 300 美元。截至目前為止,該比特幣位址大約已收到 7,500 美元款項。如同其他勒索病毒一樣,我們建議受害者慎重考慮是否支付贖金,尤其是這個勒索病毒,因為其勒索訊息當中的電子郵件地址 早已停用 ,所以很可能付了錢之後就會沒有下文。

如需更多有關趨勢科技解決方案的資訊,請 參閱趨勢科技網站

以下是此威脅相關的 SHA256 雜湊碼:

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

延伸閱讀:


【 MarTech Asia 】數位轉型突圍!萬里雲推出機器人寫文案服務,以 AI 加速行銷流程

CloudMile 萬里雲旗下 Martech 產品── ADsvantage (廣告智庫)全新 2.0 功能上線,採用非營利人工智慧組織 —— OpenAI 強大的文章產成器 「 GPT 系列」為基礎,推出全新 AI 智慧寫手功能。
評論
Photo Credit:CloudMile
評論

 CloudMile  萬里雲旗下 Martech 產品── ADsvantage(廣告智庫)全新 2.0 功能上線,採用非營利人工智慧組織 —— OpenAI  強大的文章產成器「 GPT 系列」為基礎,推出全新 AI 智慧寫手功能。隨著行銷碎片化時代來臨,消費者的用戶輪廓越來越難拼湊,從獲取資料、數據分析,到廣告文案創作的最後一哩路,行銷人員必須借助更多工具幫忙,奪回行銷效益的掌握度。 ADsvantage 提供台灣中小企業行銷人員、廣告主及電商業者自助管理的廣告平台,大幅縮短廣告行銷人員作業時間。

 ADsvantage 推出新功能,受邀 2021 MarTech Asia 分享 AI 化數據行銷

日前全台最大的行銷科技盛會 2021 MarTech Asia ,阿物科技創辦人暨執行長林思吾號召 26 位業界領袖同台 ,現場及線上共有超過 1,800 位全球及台灣相關業者齊聚一堂,包括行銷科技之父 Scott Brinker、前 Verizon Media 國際事業董事總經理鄒開蓮、全聯實業副董事長謝健南等人,分享行銷科技的重要趨勢及後疫情時代的新生態。 CloudMile 萬里雲營運長高斌恒也受邀分享,各個科技巨頭都紛紛有許多針對隱私權的規範和措施,消費者的線上線下界線越來越模糊。 當今行銷人所面對的難題不只是 SEO、投放優化而已,「數據」才是致勝關鍵,透過將許多流程自動化,省下時間與人力成本的情況下,達到更高的行銷目標,其中包括 Cookieless 時代來臨、深化 OMO 無縫體驗、打造顧客數據平台( Customer Data Platform , CDP )等議題都受到業界高度關注。

豐富跨國實戰經驗的 CloudMile 機器學習團隊,運用超過 500 萬的文案數據庫、橫跨 20 種產業以上的廣告量,結合廣告代理商 20 年以上行銷經驗,創造 ADsvantage 「 AI 智慧寫手」 新功能。 CloudMile 看見客戶對於數位轉型及運用 MarTech 行銷科技推廣商品的急迫需求,希望可運用 AI 技術之力,縮短廣告前期企劃、發想關鍵字詞、寫文案和廣告投放設定,同時還需跨組溝通,尋找資源協助的時程, ADsvantage 廣告智庫即是專為滿足客戶後疫行銷需求的一站式廣告營運平台解決方案。

人工智慧寫手結合電商平台, 加速行銷流程的最佳 AI 助理

 ADsvantage 全新 2.0 功能上線,採用 GPT 模型,為矽谷時下最夯的自然語言處理模型,推出全新 AI 智慧寫手功能,透過平台能協助客戶透過數據匯流、 AI 分析達到預測的成效,快速蒐集最熱門的關鍵字、文案內容,加速創意的過程並提升廣告效率。

此全新產品適合應用在電商等大型網購平台上,透過機器學習與 AI 科技應用,讓中間產製時間被大幅被縮短,並提升操作數位行銷的「效率」與「精準度」,像是電商平台即可透過採用 ADsvantage 的服務,有效提升自己在數位行銷上的競爭力。

Photo Credit:CloudMile
ADsvantage 全新 2.0 功能上線,推出 AI 華語文案生成工具「AI 智慧寫手」。/Photo Credit:CloudMile

 ADsvantage 產品介紹

運用 AI 科技力助企業數位轉型的 CloudMile 萬里雲,發表關鍵字數位廣告輿情系統 ADsvantage(廣告智庫),提供企業廣告主及電商平台,透過超過百萬的文案創意庫( Ads  idea ) 、 AI 智慧監控工具及 AI 智慧寫手,平均只要 3 秒即可生成一個廣告文案。 CloudMile 透過 Google 雲端、機器學習與 AI 大數據分析技術,致力協助企業落實數位轉型。疫情期間抓住需求開發的 ADsvantage ( 廣告智庫) 服務,透過服務台灣、新加坡、及香港逾 400 家客戶的專業經驗,將傳統的商業廣告運營模式數據化,提供企業廣告主一站式 Google Ads 廣告文案創作 AI 化平台。

本文章內容由「阿物科技」提供,經關鍵評論網媒體集團廣編企劃編審。