Petya勒索软件变种Nyetya全球爆发，思科Talos率先响应

正文

请到「今天看啥」查看全文

在勒索软件散播过程中，利用了NetServerEnum遍历所有可见的主机，然后扫描所有开放了TCP 139端口的主机，并将这些主机加入到易感染主机列表中。

一旦主机被感染后，勒索软件会使用以下三种方式进行传播：

• EternalBlue – 永恒之蓝，与WannCry相同的入侵方式。

• Psexec – Windows系统自带的管理工具。

• WMI - Windows Management Instrumentation，Windows系统自带的组件。

以上方式被用于勒索软件安装和运行perfc.bat程序，进一步感染其他内网主机。

利用当前用户的Window Token信息，在被感染的主机上psexec被用于运行下列指令来安装勒索软件（Talos还在分析获得Window Token的方式）：

利用当前账号的用户名和密码信息，WMI被用于执行下面命令，实现上述相同的功能（Talos还在分析获得用户的凭证信息的途径）：

请到「今天看啥」查看全文