Petya免疫工具是一款專門針對(duì)Petya勒索病毒所特制的免疫修復(fù)工具。Petya勒索病毒免疫工具可智能對(duì)用戶電腦系統(tǒng)進(jìn)行檢測(cè)并免疫勒索病毒。

軟件介紹

Petya免疫工具是針對(duì)互聯(lián)網(wǎng)上出現(xiàn)Windows操作系統(tǒng)的勒索病毒的免疫修復(fù)的工具。此勒索病毒利用此前披露的Windows SMB服務(wù)漏洞RTF漏洞攻擊手段，修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時(shí)，病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。

軟件功能

特性一：疫苗免疫：

通過(guò)已經(jīng)捕獲到的病毒文件，對(duì)病毒感染原理進(jìn)行分析，了解病毒會(huì)先判斷機(jī)器是否已經(jīng)感染過(guò)，如果已經(jīng)感染過(guò)就不進(jìn)行后續(xù)流程。因此增加已經(jīng)感染過(guò)的疫苗處理，加強(qiáng)系統(tǒng)對(duì)已知病毒的免疫能力。

特性二：操作系統(tǒng)關(guān)鍵補(bǔ)丁包檢測(cè)

針對(duì)Windows SMB服務(wù)漏洞（微軟漏洞公告：MS17-010）的關(guān)鍵補(bǔ)丁深度檢測(cè)

特性三：（僅針對(duì)個(gè)人PC）一鍵暫停微軟網(wǎng)絡(luò)共享服務(wù)

增加系統(tǒng)防火墻規(guī)則

關(guān)閉TCP/UDP端口135、139、445（SMB服務(wù)相關(guān)端口）

特性三 可能帶來(lái)影響說(shuō)明！

1、自動(dòng)啟用關(guān)閉狀態(tài)的PC防火墻，默認(rèn)產(chǎn)生應(yīng)用拒絕策略，可能導(dǎo)致本可使用的個(gè)人PC應(yīng)用無(wú)法使用

2、同時(shí)自動(dòng)關(guān)閉上述端口操作，在規(guī)避隱患同時(shí)會(huì)導(dǎo)致系統(tǒng)某些服務(wù)停止，例如：打印機(jī)、共享文件夾等應(yīng)用。

病毒分析

經(jīng)過(guò)深信服千里目安全研究團(tuán)隊(duì)研究發(fā)現(xiàn)，Petya勒索病毒是一種新型病毒，主要采用郵件釣魚(yú)、蠕蟲(chóng)等組合進(jìn)行傳播。在傳播過(guò)程中主要涉及Windows兩個(gè)重要漏洞。

漏洞一：（CVE-2017-0199)RTF漏洞

CVE-2017-0199允許攻擊者利用此漏洞誘使用戶打開(kāi)處理特殊構(gòu)造的Office文件在用戶系統(tǒng)上執(zhí)行任意命令，從而控制用戶系統(tǒng)。

簡(jiǎn)單來(lái)講，就是攻擊者可以將惡意代碼嵌入Word等Office文檔中，在無(wú)需用戶交互的情況下，打開(kāi)Word文檔就可以通過(guò)自動(dòng)執(zhí)行任意代碼。在通常的攻擊場(chǎng)景下，用戶收到一個(gè)包含惡意代碼的Office文件 （不限于RTF格式的Word文件，可能為PPT類的其他Office文檔），點(diǎn)擊嘗試打開(kāi)文件時(shí)會(huì)從惡意網(wǎng)站下載特定的 HTA程序執(zhí)行，從而使攻擊者獲取控制。

在本次Petya勒索病毒事件中，攻擊者首先利用CVE-2017-0199漏洞通過(guò)郵件方式進(jìn)行釣魚(yú)投毒，建立初始擴(kuò)散節(jié)點(diǎn)。

漏洞二：MS17-010（永恒之藍(lán)）SMB漏洞

MS17-010（永恒之藍(lán)）SMB漏洞是今年4月方程式組織泄露的重要漏洞之一。

“永恒之藍(lán)”利用Windows SMB遠(yuǎn)程提權(quán)漏洞，可以攻擊開(kāi)放了445 端口的 Windows 系統(tǒng)并提升至系統(tǒng)權(quán)限。

TCP 端口 445在WindowsServer系統(tǒng)中提供局域網(wǎng)中文件或打印機(jī)共享服務(wù)，攻擊者與445端口建立請(qǐng)求連接，能夠獲得指定局域網(wǎng)內(nèi)的各種共享信息。

在通過(guò)RTF漏洞建立初始擴(kuò)散節(jié)點(diǎn)后可利用MS17-010（永恒之藍(lán)）SMB漏洞感染局域網(wǎng)中開(kāi)放445端口建立共享服務(wù)的所有機(jī)器。