新的勒索病毒全球爆發，我們如何自保？

昨天深夜，收到卡巴斯基發過來的一封郵件，告知發現新的勒索病毒。

該勒索病毒變種本周二在全球爆發，英國（WPP）、烏克蘭、波蘭、義大利、丹麥（Maersk）、俄羅斯（Rosnoft）美國（Merck）多家大型企業報告遭受病毒襲擊，其中重災區烏克蘭的政府、國有銀行、交通、能源等關鍵基礎設施和部門遭受襲擊，甚至烏克蘭總理的電腦都遭受攻擊。

病毒感染國家分布：烏克蘭和俄羅斯是重災區 數據來源：卡巴斯基

今天一早，央視新聞也報導 了此次病毒事件。

卡巴斯基的郵件中表明，這是一個全新的勒索病毒。俄羅斯和烏克蘭的組織受影響最嚴重，在波蘭、義大利、德國和其他幾個國家也有發現。

卡巴斯基實驗室檢測到威脅簽名為：DangeroundObject.Multi.Generic。

卡巴斯基實驗室的專家們打算儘快發布新的簽名，包括系統監視組件，並確定是否有可能解密在攻擊中鎖定的數據，並打算儘快開發一個解密工具。

根據最早發現並分析該病毒的卡巴斯基和Avast等安全公司的判斷，該勒索病毒在初始階段的規模和速度都超過了此前震驚全球的Wannacry勒索病毒，但是兩者的運作方式和傳播機制有很大區別。

與Wannacry相同的是，該病毒也是利用了MS17-010的漏洞，使用同樣的攻擊手法，也會掃描內網並通過SMB協議漏洞傳播，但與Wannacry不同的是，該病毒還利用了FireEye公司四月份公布的另外一個Windows漏洞，攻擊者可以利用釣魚郵件發送的惡意文件在受害者電腦上運行命令。這也使得Petya勒索病毒能夠感染此前已經修補永恆之藍漏洞布丁的計算機。

也就是說，該病毒的傳播手段較上次的永恆之藍更多，不僅利用漏洞主動傳播，還會以釣魚郵件的方式發送病毒附件，誘使用戶點擊進而執行病毒。

而且一旦得手，Petya病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，以磁碟檢查的名義對負責文件定址的MFT主文件分區表執行加密操作（並非加密文件本身），加密完成後提示用戶支付價值300美元的比特幣，界面如上圖所示。

安全建議：

1、給系統安裝MS17-010補丁，這個補丁就是之前永恆之藍的補丁。

2、建議所有公司更新你們的殺毒軟體，目前該病毒大多數殺毒軟體都已經可以預防。

3、及時進行數據備份。

3、防範釣魚郵件，不要點擊郵件中的鏈接和附件。一定要先保存，掃描後再打開。

4、不要隱藏已知文件類型的擴展名。因為附件病毒大多是以雙後綴名的形式出現的。方法如下，以WIN10為例：

一定要把這個選項前面的對號去掉。

5、還有一點特別重要：如果你的系統感染了勒索病毒，一定不要重啟，也不要做別的操作。只要不重啟，就還要解密的可能，病毒也沒有加密文件分區表的機會。

如果您是卡巴斯基實驗室的企業客戶，我們建議：

1、檢查所有組件的保護級別為推薦保護；開啟KSN功能 /系統監視組件。

2、在應用程序控制功能中禁用任何文件名字裡帶「perfc.dat」的文件；

感謝關註：大兵說安全

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！