新的名為"Petya"的惡意軟件上周正在全球范圍內傳播，包括歐盟，烏克蘭和俄羅斯。它已經影響了全球許多大大小小的企業，并已危及系統包括烏克蘭的中央銀行，其國有電信公司、城市地鐵、基輔鮑里斯波爾國際機場。

Petya勒索軟件利用今年早些時間Shadow Brokers影子經紀透露的可被利用漏洞進行攻擊。在破壞系統后，惡意軟件使用私鑰對數據進行加密，并防止用戶在恢復或解密之前訪問系統。這個事件的初始感染似乎是通過有毒的Medoc軟件套件，一個許多烏克蘭企業使用稅務軟件。感染惡意軟件后，很容易利用MS17-010漏洞橫向在整個基礎設施系統中擴散。

注：Petya惡意軟件創建一個計劃任務，重啟后一小時感染。如果任務在執行前被移除，它不會重新安排時間，給企業留下了一點時間。

類似于今年早些時候的"WannaCry永恒之藍"勒索軟件，Petya也是利用已有補丁的可利用漏洞進行攻擊，在一個每天都有新的惡意軟件威脅產生的世界里，企業每天追蹤新的惡意軟件，然后去修補是不太現實的。任何規模的企業都應該采取更具戰略性的方法主動管理安全威脅，通過實施良好的網絡安全策略，包括定期修補、更新、備份和持續監測。來保護自己的企業以及客戶信息。

Tenable能幫助你做些什么？

發現存在漏洞系統

Tenable的客戶應立即修補系統容易受到MS17-010漏洞如果你還沒有這樣做。如果你還沒有做，Tenable漏洞掃描平臺今年早些時候發布的以下插件，來檢測此系統漏洞：

Malware掃描

Tenable客戶可以使用Malware Scan Policy功能檢測受到Petya感染的主機，結果會在Plugin 59275中呈現：

YARA 檢測

Tenable客戶也可以通過Tenable平臺的YARA Rule方法找到受感染主機，下面是一個來自卡巴斯基的通過使用Nessus檢測Petya惡意軟件的規則用例：

儀表盤

用戶可自動更新下載最新的Petya儀表盤，它采用各種方法以及收集的各種數據呈現用戶系統面臨的惡意軟件風險，呈現主動及被動組件帶來的Netstats信息以及沒有安裝SMB漏洞補丁的系統。

總結

大多數惡意程序都是利用已知的可利用漏洞進行攻擊。企業執行主動的安全規范，包括從漏洞發現，補丁和系統更新，以及對那些不能修補的漏洞進行被動防御。是防止惡意軟件感染系統的最佳策略之一，企業需要養成漏洞發現，修補和保護的閉環管理習慣。