當地時間7月1日，美國國土安全部（DHS）計算機應急預備小組（US-CERT）發布Petya新變種勒索軟件警告（TA17-181A）。

計算機應急預備小組敦促組織機構升級軟件，避免使用不支持的應用程序和操作系統。

計算機應急預備小組證實稱，收到了多份有關最近Petya勒索軟件感染的報告。這款勒索軟件利用“永恒之藍”漏洞利用M2 MS17-010，利用服務器信息塊（SMB）中的漏洞使設備無法使用。

CERT在警告中指出，國家網絡安全與通信集成中心（NCCIC）代碼分析小組提供了一份惡意軟件初始結果報告（MIFR），對這款惡意軟件進行了深度技術分析。此外，NCCIC與公共和私有部門的合作伙伴合作，提供了其它攻擊指示器（IOC）信息。

初始結果報告和IOC信息如下：

MIFR-10130295.pdf

TA-17-181A_IOCs.csv

這份警告指出，警告分析的范圍僅限于2017年6月27浮現的新Petya變種，這款惡意軟件在警告中被稱為Petya。基于初步報告，Petya在初期感染中使用了多種方法和傳播手段，包括利用SMB中的漏洞。

SMBv1服務器在處理特定的需求方面存在該漏洞，因此允許攻擊者向SMBv1服務器發送特制信息，從而遠程執行代碼。

計算機應急預備小組的專家分析了最近這個Petya勒索軟件的樣本后發現，該變種通過動態生成的128位密鑰加密受害者的文件，并為受害者創建唯一ID。專家未發現加密密鑰生成與受害者ID之間的關聯。警告指出，沒有證據證明加密密鑰與受害者ID之間存在關聯，這就意味著，即使受害者支付贖金，攻擊者也可能無法解密受害者的文件。

這個Petya變種使用SMB漏洞，并竊取用戶的Windows登錄憑證進行傳播。值得注意的是，這款Petya變種會安裝修改版的Mimikatz工具，該工具能被用來獲取用戶的登錄憑證。被竊的登錄憑證能被用來訪問網絡上的其它系統。

計算機應急預備小組分析的樣本還設法檢查被感染系統的IP物理地址映射表，以此識別網絡上的其它主機。

這款Petya變種在C:盤中創建文本文件，其中包含比特幣錢包地址以及贖金支付的RSA密鑰。惡意代碼會修改主引導記錄（MBR），從而啟動主文件表（MFT）和MBR的加密，之后重啟系統替換MBR。

基于該變種使用的加密方法，即使攻擊者收到受害者的唯一ID可能也無法恢復文件。

計算機應急預備小組建議組織機構執行以下有關SMB的步驟：

禁用SMBv1

阻止TCP端口445、UDP端口137-138以及TCP端口139上的相關協議，從而阻止邊界設備在網絡邊界的所有SMB版本。

計算機應急預備小組警告用戶和管理員，阻止或禁用SMB可能會無法訪問共享文件、數據或設備。應當權衡緩解措施，降低對用戶的潛在影響。

安裝微軟3月14日發布的。

啟用強大的垃圾郵件過濾器，防止網絡釣魚電子郵件到達終端用戶，同時，使用發送者政策框架（SPF）、域名信息驗證、部署DMARC郵件驗證，并對發出的郵件內容進行簽名（DKIM）等技術驗證入站電子郵件，防止電子郵件欺騙行為。

掃描所有接收和發出的電子郵件，以檢測威脅，并過濾可執行文件到達終端用戶。

將反病毒和反惡意軟件解決方案設置為自動定期掃描。

管理特權賬戶的使用，實行最低權限原則，僅在必要的時候讓用戶使用管理員賬戶。

通過最低權限配置訪問控制，包括文件、目錄和網絡共享權限。如果用戶只需讀取特定文件，就不應當訪問這些文件、目錄或共享。

在通過電子郵件傳輸的Microsoft Office文件中，禁用宏腳本。考慮使用Office Viewer軟件打開通過電子郵件傳輸的Office文件，而不是完整的Office套件應用。

制定、研究并開展員工教育項目，培訓員工識別騙局、惡意鏈接和社交工程攻擊企圖。

對網絡進行嘗試滲透測試（每年至少一次），如果可行，盡可能經常進行滲透測試。

測試備份，以確保使用時能正常工作。

利用基于主機的防火墻，并阻止工作站到工作站的通信。