NotPetya
NotPetya 是什么?
NotPetya2017 年 6 月伪装成勒索软件的破坏性擦除器,通过被植入后门的 M.E.Doc 更新传播,归因于俄罗斯 Sandworm。
NotPetya 也被记录为 ExPetr 或 NotPetya/Petya.A,于 2017 年 6 月 27 日出现,伪装成勒索软件,实际上是为最大化破坏而设计的擦除器。初始入侵通过乌克兰会计软件 M.E.Doc 的被植入后门的更新完成;恶意软件随后在企业网络内利用 EternalBlue、EternalRomance 以及基于 Mimikatz 的凭据窃取进行横向传播。它覆盖主引导记录(MBR),即使受害者付款也会造成不可逆的数据破坏。损失超过 100 亿美元,波及马士基、默克、FedEx-TNT、圣戈班以及众多乌克兰政府系统。美国、英国和欧盟将 NotPetya 归因于 Sandworm(俄罗斯 GRU 第 74455 部队),称其为历史上破坏性最大的网络攻击。
● 示例
- 01
马士基在 NotPetya 抹除其全球基础设施后,十天内重装了 4.5 万台 PC 和 4000 台服务器。
- 02
组织通过对照厂商签名哈希校验二进制,检测到 M.E.Doc 的恶意更新。
● 常见问题
NotPetya 是什么?
2017 年 6 月伪装成勒索软件的破坏性擦除器,通过被植入后门的 M.E.Doc 更新传播,归因于俄罗斯 Sandworm。 它属于网络安全的 恶意软件 分类。
NotPetya 是什么意思?
2017 年 6 月伪装成勒索软件的破坏性擦除器,通过被植入后门的 M.E.Doc 更新传播,归因于俄罗斯 Sandworm。
NotPetya 是如何工作的?
NotPetya 也被记录为 ExPetr 或 NotPetya/Petya.A,于 2017 年 6 月 27 日出现,伪装成勒索软件,实际上是为最大化破坏而设计的擦除器。初始入侵通过乌克兰会计软件 M.E.Doc 的被植入后门的更新完成;恶意软件随后在企业网络内利用 EternalBlue、EternalRomance 以及基于 Mimikatz 的凭据窃取进行横向传播。它覆盖主引导记录(MBR),即使受害者付款也会造成不可逆的数据破坏。损失超过 100 亿美元,波及马士基、默克、FedEx-TNT、圣戈班以及众多乌克兰政府系统。美国、英国和欧盟将 NotPetya 归因于 Sandworm(俄罗斯 GRU 第 74455 部队),称其为历史上破坏性最大的网络攻击。
如何防御 NotPetya?
针对 NotPetya 的防御通常结合技术控制与运营实践,详见上方完整定义。
NotPetya 还有哪些其他名称?
常见的别称包括: ExPetr, Petya.A, Nyetya。
● 相关术语
● 参见
- № 1027Shadow Brokers 泄露事件
- № 966Sandworm Team(沙虫小组)