新勒索病毒Petya如何破

新勒索病毒Petya如何破

　　烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國正在遭遇Petya勒索病毒襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。

　　烏克蘭內政部官員Anton Gerashchenko在Facebook上寫道，該入侵是“烏克蘭歷史上最大的一次”，其目標是“動搖不穩定的經濟形勢和公民意識”，盡管它被“偽裝成勒索企圖”。據爆料，其中烏克蘭副總理的電腦亦遭受攻擊。

　　根據研究發現，攻擊事件中的病毒屬于 Petya勒索者的變種 Petwrap，可能的傳播渠道是：病毒使用 Microsoft Office/WordPad(RTF)遠程執行代碼漏洞(CVE -2017-0199)通過電子郵件進行傳播，感染成功后利用“永恒之藍”漏洞(MS17-010)，在內網中尋找打開 445 端口的主機進行傳播。

　　中毒后，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟后，會顯示一個偽裝的界面，界面上謊稱正在進行磁盤掃描，實際上正在對磁盤數據進行加密操作。

　　當加密完成后，病毒要求受害者支付價值300美元的比特幣之后，才會回復解密密鑰。

　　Petya病毒感染文件后綴列表：

　　.3ds .7z .accdb .ai .asp .aspx .avhd .back.bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz.h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd.vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

　　從病毒樣本中也可以看到攻擊者郵件、Bitcoin地址、支付金額提示、感染文件類型等：

　　防護策略建議：

　　1. 不要輕易點擊附件，尤其是.rtf、.doc等格式文件。

　　2. 更新Windows操作系統補丁

　　https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

　　3. 更新 Microsoft Office/WordPad(RTF)遠程執行代碼漏洞(CVE -2017-0199)補丁

　　https://technet.microsoft.com/zh-cn/office/mt465751.aspx

　　4. 啟用windows防火墻，關閉137、139、445等相關端口;

　　5. 使用HanSight Enterprise和HanSight NTA監控網絡流量和主機行為，及時對告警排查處理。

【新勒索病毒Petya如何破】相關文章：

電腦如何預防勒索病毒-預防“勒索病毒”操作步驟03-04

電腦勒索病毒如何防范03-07

2017全新勒索病毒爆發如何防中招03-07

如何預防勒索病毒-最新電腦病毒預防處理步驟大全03-04

2017年勒索病毒預防措施-預防“勒索病毒”操作步驟大全02-26

勒索病毒會影響手機嗎12-30

勒索病毒最大的風險是什么03-21

預防勒索病毒及解決辦法03-04

電腦中勒索病毒怎么辦03-04