Petya勒索病毒來襲：騰訊電腦管家發布開機指南

IT之家6月28日消息 WannaCry病毒剛剛平息，現在，一款名為Petya的新型勒索病毒又在世界各地傳播了。據了解，烏克蘭的國家銀行、電力公司、機場、地鐵服務和幾個組織正在受到Petya的攻擊，銀行系統等多個國家設施均遭感染導致運轉異常。

據騰訊電腦管家的報道，中國區最早攻擊發生在2017年6月27號早上，通過郵箱附件傳播。另據烏克蘭CERT官方消息稱，郵箱附件被確認是該次病毒攻擊的傳播源頭。

（烏克蘭CERT官方消息確認郵箱附件為此次病毒攻擊的傳播源）

據了解，這是一種類似於「WannaCry」的勒索病毒新變種，傳播方式與「WannaCry」類似，其利用EternalBlue（永恆之藍）和OFFICE OLE機制漏洞（CVE-2017-0199）進行傳播，同時還具備區域網傳播手法。

據騰訊安全反病毒實驗室研究發現，病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在135、139、445等埠使用SMB協議進行連接。同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

電腦重啟後，會顯示一個偽裝的界面，假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。加密完成後，病毒才露出真正的嘴臉，要求受害者支付贖金。

針對已經中招Petya勒索病毒的用戶，騰訊電腦管家提醒可以通過WinPE進入系統，有很高几率恢復部分文件。騰訊電腦管家用戶也可以通過下載「勒索病毒離線版免疫工具」進行防禦等。

二是，斷網備份重要文檔。如果電腦插了網線，則先拔掉網線；如果電腦通過路由器連接wifi，則先關閉路由器。隨後再將電腦中的重要文檔拷貝或移動至安全的硬碟或U盤。

此外，針對管理員用戶，騰訊電腦管家建議如下：

一是，禁止接入層交換機PC網段之間135、139、445三個埠訪問。

二是，要求所有員工按照上述修復漏洞。

三是，使用「管理員助手」確認員工電腦漏洞是否修復。

此外，騰訊安全雲鼎實驗室分析發現，病毒採用多種感染方式，其中通過郵件投毒的方式有定向攻擊的特性，在目標中毒後會在內網橫向滲透，通過下載更多載體進行內網探測。

網路管理員可通過，監測相關域名/IP，攔截病毒下載，統計內網感染分布：

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

french-cooking.com

網路管理員可通過如下關鍵HASH排查內網感染情況：

415fe69bf32634ca98fa07633f4118e1

0487382a4daf8eb9660f1c67e30f8b25

a1d5895f85751dfe67d19cccb51b051a

71b6a493388e7d0b40c83ce903bc6b04

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！