Petya勒索蠕虫完全分析报告
xjc1027
7年前
<p><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/7ed7d283e5815e77edf4cd07399cd0ef.png"></p> <p>Petya勒索蠕虫完全分析报告</p> <h2>第一章 前言</h2> <p>2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。</p> <p>此次黑客使用的是Petya勒索病毒的变种,,使用的传播攻击形式和WannaCry类似,但该病毒除了使用了永恒之蓝(MS17-010)漏洞,还罕见的使用了黑客的横向渗透攻击技术。在勒索技术方面与WannaCry等勒索软件不同之处在于,Petya木马主要通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,故而其影响更加严重。如果想要恢复,需要支付价值相当于300美元的比特币。</p> <p>由于这次攻击有很强的定向性,所以目前欧洲被感染的受害者较多。目前国内感染量较少,但是考虑到其横向攻击传播能力,未来存在较高风险在国内传播。</p> <h2>第二章 Petya老样本简介</h2> <p>2016年4月,敲诈勒索类木马Petya被安全厂商曝光,被称作是第一个将敲诈和修改MBR合二为一的恶意木马。木马Petya的主要特点是会先修改系统MBR引导扇区,强制重启后执行MBR引导扇区中的恶意代码,加密受害者硬盘数据后显示敲诈信息,并通过Tor匿名网络索取比特币。</p> <p>Petya与其他流行的勒索软件的不同点在于,Petya不是逐个加密文件,而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序,还创建了一个32个扇区长的小内核。</p> <p>Petya的木马释放器会将恶意代码写入磁盘的开头。被感染的系统的主引导记录(MBR)将被加载一个小型恶意内核的自定义引导加载程序覆盖,然后该内核会进一步加密。 Petya的敲诈信息显示其加密了整个磁盘,但这只是木马作者放出的烟雾弹,事实上,Petya只是加密了主文件表(MFT),使文件系统不可读,来拒绝用户访问完整的系统。</p> <p><a href="https://simg.open-open.com/show/7ed7d283e5815e77edf4cd07399cd0ef.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/f55876d692ac552e048591f86ceb4558.png"></a></p> <p>图 1 Petya的敲诈信息</p> <h2>第三章 Petya新样本详细介绍</h2> <p>此次Petya病毒的新样本类型为DLL,有一个导出序号为1的函数。当这个函数被调用时,首先尝试提升当前进程的权限并设置标记,查找是否有指定的安全软件,后面会根据是否存在指定的安全软件跳过相应的流程。绕过安全软件的行为监控。</p> <p>接下来修改磁盘的MBR,并将生成的Key,IV,比特币支付地址以及用户序列号写入磁盘的固定扇区。然后创建计划任务于1小时后重启。遍历局域网可以连通的ip列表,用于后续的局域网攻击。释放并执行抓取密码的进程,释放psexec进程用于后续执行远程命令。对系统的网络资源列表进行过滤,筛选本地保存的凭据,使用保存的凭据连接,成功后执行远程命令,进行局域网感染。</p> <p>下一步生成随机ip,连接445端口进行永恒之蓝漏洞攻击。然后遍历磁盘,对指定扩展名的文件进行加密。执行完所有流程后,清除日志并强行重启。</p> <p><a href="https://simg.open-open.com/show/663355251a865577c88a74262ac742be.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/3cd658dcfcd253526349f1ffbfcfa536.jpg"></a></p> <p>图 2 总体流程图</p> <h2>第四章 Petya勒索蠕虫感染传播趋势分析</h2> <p>自6月27日在欧洲爆发的起,Petya勒索病毒在短时间内袭击了多国。</p> <p>根据360互联网安全中心的监测,对每一个小时的远程攻击进程的主防拦截进行了统计。从6月28号0点至6月28日晚上7点整,平均每小时攻击峰值在5000次以内。上午10点攻击拦截达到最高峰,后缓慢波动,在14点达到一个小高峰,然后攻击频率开始缓慢下降。由此可见,Petya的攻击趋势并不呈现几何级增长的趋势,而是缓慢下降的,并不具备进一步泛滥的趋势。</p> <p><a href="https://simg.open-open.com/show/c8db720c52e46ffc2dec007e706fac2b.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/6496a1c8f3a629d527ba5629cc443d53.png"></a></p> <p>图 3 攻击频率</p> <p>除乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模的Petya攻击外,我国也遭受了同样的攻击。针对我国的攻击,主要集中在北京、上海、广州、深圳、香港等大城市,根据360互联网安全中心的监测,在全中国八十多个城市拦截到了攻击。</p> <p><a href="https://simg.open-open.com/show/af61241eaf674b3b994890bbf6efa35f.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/b0a239710e58a3c9672acce569e3e32c.png"></a></p> <p>图 4 Petya国内感染情况</p> <h2>第五章 Petya横向移动及传播技术分析</h2> <h3>一、提升权限,设置执行标记</h3> <p>首先,Petya病毒会尝试提升当前进程的3种权限:SeShutdownPrivilege、SeDebugPrivilege和SeTcbPrivilege,根据是否成功设置标记,后面执行相应的流程时会判断此标记,以防没有权限时系统报错。</p> <p><a href="https://simg.open-open.com/show/55e3e90cc727c34a959849e62b9b35f9.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/78b11ff6e39c41395a590c2b1efc1050.png"></a></p> <p>然后,通过CreateToolhelp32Snapshot枚举系统进程,判断是否有指定的安全软件,并设置标记。</p> <p><a href="https://simg.open-open.com/show/984b416b1023c2c4de92585d6291d749.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/1eb9dcb4409ddadf519cace65f9a1d7f.png"></a></p> <p>枚举过程中,通过将进程名称进行异或计算得出一个值,将该值与预设的值进行比较,此处病毒是在寻找特定名称的进程,通过对算法进行逆向还原,我们找出预设值对应的进程名称:</p> <table> <tbody> <tr> <td>进程名称</td> <td>杀毒软件</td> </tr> <tr> <td>0x2E214B44: avp.exe</td> <td>卡巴斯基</td> </tr> <tr> <td>0x651B3005: NS.exe</td> <td>诺顿</td> </tr> <tr> <td>0x6403527e: ccSvcHst.exe</td> <td>诺顿</td> </tr> </tbody> </table> <p>当存在NS.exe(诺顿)或ccSvcHst.exe(诺顿)进程时,不执行漏洞感染流程。</p> <p>当存在avp.exe(卡巴斯基)进程时,不执行MBR感染流程。</p> <h3>二、MBR修改</h3> <p>获取分区类型,当为MBR格式时执行修改MBR流程。</p> <p><a href="https://simg.open-open.com/show/1d20be3b9767672bdf62a7814bd2b2df.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/e5e2180e6b72789af986e79c35cf7be8.png"></a></p> <p>随后,Petya将修改机器的MBR,具体流程如下:</p> <ul> <li>通过微软的CryptoAPI生成长度为 60 字节的随机数</li> </ul> <p><a href="https://simg.open-open.com/show/df2e960654405c65f1a2ab2aeaf53224.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/5ad2297c4108708715c8b667e2e996a8.png"></a></p> <ul> <li>对生成的随机数对58进行取模,取模后的值作为下述数组的索引</li> </ul> <p>123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz,生成勒索界面显示的序列号</p> <ul> <li>将病毒内置的MBR写入,长度为0x13个扇区</li> </ul> <p><a href="https://simg.open-open.com/show/0a383bfba1a7478e637d58f5d1cb741a.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/ffe65062171f8cfdd6a537adc81d62b3.png"></a></p> <ul> <li>将随机生成的key,IV,硬编码的比特币支付地址以及用户序列号写入磁盘第0x20个扇区</li> </ul> <p><a href="https://simg.open-open.com/show/7857ee00c0b7b777ded72bbbeadeb168.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/cb03a728b4acbdf778b110b88681a8e0.png"></a></p> <h3>三、设置重启计划任务</h3> <p>创建计划任务,设定当前时间1小时后重启计算机。</p> <p><a href="https://simg.open-open.com/show/428332b994857435669a4aed2a30147f.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/ef34d76c540873dd9770161302e1b3bd.png"></a></p> <p><a href="https://simg.open-open.com/show/75e61d152ff0db436f14032ac53120b3.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/bf4bd061a7557ec04edb0d3469c32631.png"></a></p> <p>重启之后将执行病毒的MBR,加密扇区。</p> <h3>四、遍历IP</h3> <p>首先,Petya检查被感染的机器是否为Sever或者域控服务器</p> <p><a href="https://simg.open-open.com/show/be23512010f5647e3547d946528cf995.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/8c4e6f216114fa84edcb656fe8318887.png"></a></p> <p>当检测到主机为服务器或者域控时,会枚举该主机DHCP已分配的IP信息,保存在列表中用于网络攻击。</p> <p><a href="https://simg.open-open.com/show/ccd874fc615979147f22a5da7821bf12.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/52141c1fdb9c42192b7c1d19d1d6d9a4.png"></a></p> <h3>五、释放并运行资源</h3> <p>进程首先从资源中解压缩ID为1的资源,在系统的%TEMP%目录下生成一个临时文件。</p> <p><a href="https://simg.open-open.com/show/c9710bbcfaf8bfdd05a51aad2a68176e.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/a2748590c5ef8a41888f4f3ef6d9a9a9.png"></a></p> <p>随后程序启动线程尝试连接特定的命名管道并读取数据,随后将该临时文件作为进程启动,并且等待1分钟。</p> <p><a href="https://simg.open-open.com/show/8cd5722982cc752bff506345f39aefd2.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/5907a7cee11fa51f73a4489e5b21c717.png"></a></p> <p>对启动的临时文件进行分析,其代码功能与mimikatz,一款Windows下抓取密码的工具类似,Petya通过命名管道从该工具进程中获取本机账户密码。</p> <p><a href="https://simg.open-open.com/show/4874e3210c697c6c282cce85d2c1bceb.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/6cea57925dac0b98826504ff0153878a.png"></a></p> <p>之后程序加载资源序号3并且解压缩,首先获取系统文件夹目录,若失败则获取%APPDATA%目录,并将解压后的资源命名为dllhost.dat写入到该目录下。</p> <p><a href="https://simg.open-open.com/show/5ccd0582fd0372889ced103e9074d6d5.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/f0bba3274ea4dbf56dfb9b5ba10c12e0.png"></a></p> <p>dllhost.dat的本质为PsExec.exe,是一款属于sysinternals套件的远程命令执行工具,带有合法的签名。</p> <h3>六、枚举网络资源</h3> <p>接下来,病毒遍历所有连接过的网络资源,从中筛选类型为TERMSRV的凭据保存。</p> <p><a href="https://simg.open-open.com/show/dda147078f66fec25c11abd789ef31c3.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/f8d5ab137f161dace48c579646dac11c.png"></a></p> <p><a href="https://simg.open-open.com/show/abadcc8d1d982fab94a7e3f8037f343a.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/82c795d8e2287f34acbc8fae71c1008a.png"></a></p> <p>接下来尝试使用保存的凭据连接网络资源</p> <p><a href="https://simg.open-open.com/show/12e2130dac716e3910423a456fc42e95.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/cd075690276c9c560bbb0b75069e77cc.png"></a></p> <p>连接成功则执行下列命令:</p> <p><a href="https://simg.open-open.com/show/fb44cea15158019b1c2102b00d58779f.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/d9e44806f3c10392d21d9930ab997fff.png"></a> <a href="https://simg.open-open.com/show/918f252942638f516057ea1eae19dcc1.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/77249256a36d5a94feb0a1bed5193f3d.png"></a></p> <p>该命令将在目标主机上执行rundll32。exe调用自身dll的第1个导出函数,完成局域网感染功能。</p> <h3>七、使用永恒之蓝漏洞攻击</h3> <p>接下来,启动线程进行永恒之蓝漏洞攻击。</p> <p><a href="https://simg.open-open.com/show/43a24ce5344902a03ba4cd0f08f4a7b8.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/9327ed8404e453c078c45c3fb4a028fd.png"></a> <a href="https://simg.open-open.com/show/e8b08763ce00ca228932036197363713.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/bc563f803b9805a3fc44b0a34dec0a25.png"></a></p> <p>病毒使用异或的方式加密了部分数据包,在内存中重构后发送数据包,这样就避免了杀毒软件的静态查杀。</p> <p><a href="https://simg.open-open.com/show/981d030770b7a219b3d84f68fd1593ca.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/2ed59e63c78a32317e63985a85aaf34d.png"></a></p> <h3>八、文件加密</h3> <p>Petya采用RSA2048 + AES128的方式对文件进行加密,程序中硬编码RSA公钥文件,每一个盘符会生成一个AES128的会话密钥,该盘符所有文件均对该AES Key进行加密。</p> <h3>九、清除日志并重启</h3> <p>执行完加密文件和网络传播流程后,病毒将清除Windows系统日志并强制重启。重启后将执行病毒写入的MBR并加密磁盘。加密完成后显示勒索信息并等待用户输入key。</p> <p><a href="https://simg.open-open.com/show/a16bbf8c8a28255700517fca049a6186.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/01871b533c6cc1fcca48a97cf9608d38.png"></a> <a href="https://simg.open-open.com/show/96988ab17b8dd3029c9292cc821589be.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/2fc9c51ef818706d002ed47c72e48733.jpg"></a></p> <h2>第六章 Petya勒索加密技术分析</h2> <h3>一、篡改MBR</h3> <p>当系统重启后,执行病毒的MBR,伪装成CHKDSK进行加密磁盘,加密完成后弹出敲诈信息对用户进行敲诈。</p> <p><a href="https://simg.open-open.com/show/41dc556977b09c90e30486122588f593.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/55e089f67a57294031c05a6f63ae9a27.jpg"></a></p> <p>图 5 Petya敲诈信息</p> <p>下面,我们来对修改后的MBR进行分析:</p> <ul> <li>读取第20个扇区判断是否已经加密,执行相应流程</li> </ul> <p><a href="https://simg.open-open.com/show/f1c586742b0e5580004f5f9fecf31765.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/4f2957fae35e3ecf9fc83ff607daffc5.png"></a></p> <ul> <li>加密流程,读取病毒配置信息, 病毒加密用的key存在第0x20个扇区</li> </ul> <p><a href="https://simg.open-open.com/show/6944c5b064b468b5e919c4fa5da42e2a.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/a8a44820559b57f5c86b53dcc2277515.png"></a></p> <ul> <li>设置已经加密的标志位,并把配置信息中的key清0, 写回磁盘第20扇区</li> </ul> <p><a href="https://simg.open-open.com/show/5099622dcb03f45e056cd29e2927f121.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/defd6830ba90d4829981de86b44b454f.png"></a></p> <ul> <li>使用用户输入的key尝试解密</li> </ul> <p><a href="https://simg.open-open.com/show/18ba1389a8ca2ba42e46c5c0d6996168.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/feb500882d80bfb3baaa11163d280ced.png"></a></p> <h3>二、加密文件</h3> <p>勒索木马Petya采用RSA2048 + AES128的方式对文件进行加密,程序中硬编码RSA公钥文件,针对每一个盘符都会生成一个AES128的会话密钥,该盘符所有文件均用该AES Key进行加密。</p> <p>根据后缀名对相关文件进行分类,涉及的文件格式如下表:</p> <p><a href="https://simg.open-open.com/show/82ac1c69f2691cadf918a3fd4ddea13b.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/9f41998ffccd8d0797462bd54ba7b90f.jpg"></a></p> <p>Petya的加密流程如下图:</p> <p><a href="https://simg.open-open.com/show/2da687d9de55ad9e7ec26e3f51bece10.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/e263c2e5a2343526368500de405880d4.jpg"></a></p> <p>图 6 加密流程</p> <ol> <li>启动加密文件线程:</li> </ol> <p><a href="https://simg.open-open.com/show/af599214038aa8a704543176d8519bbf.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/7847db78997e843d05ea8437e77b20db.png"></a></p> <p><a href="https://simg.open-open.com/show/ab97d3f824a88b33671e01308ef699ab.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/70bb3dd37c19994785e90fcb49c60acb.png"></a> <a href="https://simg.open-open.com/show/5506dce8eadd0787b49a1fa6a7631cc2.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/4d35e4a871dfcfc110043ba4a7f8b156.png"></a></p> <ol start="2"> <li>递归枚举目录并加密</li> </ol> <p> </p> <p><a href="https://simg.open-open.com/show/199f6a17415e1c8f56d7403955bb5417.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/89de5ceaf66fd672db9c64dd2998ecab.png"></a></p> <ol start="3"> <li>写入Readme .txt文件</li> </ol> <p>Readme .txt文件中包含比特币支付地址。</p> <p><a href="https://simg.open-open.com/show/5637d2196c1ddb15ebe040a92f6615fb.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/defcdf10e2b4c33f24c514842aed75c0.png"></a></p> <h2>第七章 Petya勒索杀毒软件攻防分析</h2> <p>在提权阶段,Petya会通过CreateToolhelp32Snapshot枚举系统进程,判断是否有指定的安全软件,并设置标记。枚举过程中,通过将进程名称进行异或计算得出一个值,并将该值与预设的值进行比较,可见此处Petya是在寻找特定名称的进程。</p> <p>通过分析,我们确认Petya主要针对杀毒软件诺顿和卡巴斯基进行了反检测处理。</p> <ul> <li>当存在exe(诺顿)或ccSvcHst.exe(诺顿)进程时,不执行漏洞感染流程。</li> <li>当存在exe(卡巴斯基)进程时,不执行MBR感染流程。</li> </ul> <h2>第八章 缓解措施建议</h2> <p>针对Petya勒索软件,360追日团队提醒广大用户警惕防范,我们建议用户采取以下措施以保障系统安全:</p> <ol> <li>保证系统的补丁已升级到最新,修复永恒之蓝(ms17-010)漏洞。</li> <li>临时关闭系统的WMI服务和删除admin$共享,阻断蠕虫的横向传播方式。具体操作为,右键exe”以管理员身份运行”,输入如下命令:</li> </ol> <table> <tbody> <tr> <td><code>1</code></td> <td><code>net stop winmgmt</code></td> </tr> </tbody> </table> <table> <tbody> <tr> <td><code>2</code></td> <td> </td> </tr> </tbody> </table> <table> <tbody> <tr> <td><code>3</code></td> <td><code>net share admin$ </code><code>/delete</code></td> </tr> </tbody> </table> <ol start="3"> <li>如若不幸中招,也可以采取一些措施来减小损失。</li> </ol> <p>由于在感染Petya的过程中,病毒会先重启电脑加载恶意的磁盘主引导记录(MBR)来加密文件,这中间会启用一个伪造的加载界面。中招者如果能感知到重启异常,在引导界面启动系统前关机或拔掉电源,随后可以通过设置U盘或光盘第一顺序启动PE系统,使用PE系统修复MBR或者直接转移硬盘里的数据,可以在一定程度上避免文件的损失。</p> <h2>第九章 总结</h2> <p>Petya勒索病毒早已被安全厂商披露,其早期版本只对MBR和磁盘分配表进行加密,并提示虚假的勒索信息,声称其已对受害者系统进行了全盘加密,进而索要赎金。而此次Petya新变种卷土重来,肆虐欧洲大陆在于其利用了已知的Office漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术,使得病毒可以在短时间内呈暴发态势。另一方面,Petya木马主要通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,相较普通勒索软件对系统更具破坏性。</p> <p>由于这次攻击有很强的定向性,所以目前欧洲被感染的受害者较多,国内感染量较少。这得益于自5月份WannaCry勒索病毒爆发后,中国用户已经安装了相关漏洞的补丁,故而并没有为Petya勒索病毒的泛滥传播提供可乘之机。但是考虑到其横向攻击传播能力,未来存在较高风险在国内传播。360追日团队在此提醒广大用户及时更新系统补丁,安装360安全产品,增强终端防护能力。目前360安全产品可全面查杀Petya勒索病毒。</p> <h3> </h3> <h3>360追日团队(Helios Team)</h3> <p>360 追日团队(Helios Team)是360公司高级威胁研究团队,从事APT攻击发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队成立于2014年12月,通过整合360公司海量安全大数据,实现了威胁情报快速关联溯源,独家首次发现并追踪了三十余个APT组织及黑客团伙,大大拓宽了国内关于黑客产业的研究视野,填补了国内APT研究的空白,并为大量企业和政府机构提供安全威胁评估及解决方案输出。<br> <em>联系方式</em><br> 邮箱:360zhuiri@360.cn</p> <p>微信公众号:360追日团队</p> <p>扫描二维码关微信公众号</p> <p><a href="https://simg.open-open.com/show/a0154d93c41d19bdf1ba1214fe678053.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/a0154d93c41d19bdf1ba1214fe678053.jpg"></a></p> <p> </p>