請防範！勒索病毒Petya來襲，連銀行都中招了

今天凌晨，據國外媒體在twitter爆料，一種類似於「WannaCry」的新型勒索病毒席捲了歐洲，英國、俄羅斯、丹麥、烏克蘭等國均受到襲擊。

據 Daily Mail 報導，總部位於倫敦的全球最大廣告公司 WPP，是英國第一家被爆受到波及的公司，員工們已經被告知關閉電腦，並且不要使用公司 WiFi。

同時，烏克蘭一些商業銀行以及部分私人公司、零售企業、政府系統和機場都受到了攻擊，連 ATM 機也未能倖免。

此外，據莫斯科的網路安全公司 Group-IB 透露，目前為止，僅俄羅斯和烏克蘭兩國就有 80 多家公司被該病毒感染，這種病毒鎖住了大量的電腦，要求用戶支付 300 美元的加密數字貨幣才能解鎖。

騰訊雲聯合騰訊電腦管家已率先響應。經確認，這是一種類似於 「Wanna Cry」 的勒索病毒新變種，代號為「Petya」。都是遠程鎖定設備，然後索要比特幣贖金。

其傳播方式與「WannaCry」類似，利用EternalBlue（永恆之藍）和OFFICE OLE機制漏洞（CVE-2017-0199）進行傳播，同時還具備區域網傳播手法。目前已經確認有跨國公司中招。

開啟騰訊電腦管家不僅可以防禦petya勒索病毒，還可全面防禦所有已知的變種和其他勒索病毒。

騰訊雲也已第一時間啟動用戶防護引導，到目前為止，雲上用戶尚無感染案例，但建議沒打補丁用戶儘快打補丁避免感染風險。

普通用戶攻略

安裝電腦管家的用戶只需升級或下載最新版騰訊電腦管家即可抵禦Petya等勒索病毒的侵襲。如果沒有安裝電腦管家，請按照以下指南安全開機：

一，下載「勒索病毒離線版免疫工具」。在另一台無重要文檔的電腦上下載騰訊電腦管家的「勒索病毒離線版免疫工具」（以下簡稱「免疫工具」），（下載地址 https://pm.myapp.com/s/QMWCTool.exe），並將「免疫工具」拷貝至安全的U盤或移動硬碟。如果出現系統不支持免疫工具的情況，用戶可到微軟官網下載補丁包。

二，斷網備份重要文檔。如果電腦插了網線，則先拔掉網線；如果電腦通過路由器連接wifi，則先關閉路由器。隨後再將電腦中的重要文檔拷貝或移動至安全的硬碟或U盤。

三，運行免疫工具，修復漏洞。首先拷貝U盤或移動硬碟里的「免疫工具」到電腦。待漏洞修復完成後，重啟電腦，就可以正常上網了。

四，開啟實時防護和文檔守護者工具，預防變種攻擊。下載騰訊電腦管家最新版，保持實時防護狀態開啟（默認已開啟）。並打開電腦管家的文檔守護者工具，自動備份重要文檔。

騰訊雲及其他企業用戶攻略

網路管理員可通過監測相關域名/IP，攔截病毒下載，統計內網感染分布：

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

french-cooking.com

還可通過如下關鍵HASH排查內網感染情況：

首先，請確保安裝和開啟雲鏡主機保護系統，雲鏡可對海量主機集中管理，進行補丁修復，病毒監測。

然後，更新EternalBlue&CVE-2017-0199對應漏洞補丁，補丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

中招用戶攻略

已經不幸中招Petya病毒的用戶，可以通過WinPE進入系統，有一定幾率恢復部分文件。

考慮到製作WinPE過程太複雜，騰訊電腦管家為大家提供了自帶WinPE、文件恢復工具和病毒免疫工具的管家U盤。如果您已經中招，請速速聯繫我們！一經核實，我們將免費把U盤快遞給您！

再次提醒所有用戶，不明郵件一定不要點開，儘快備份重要文件資料到移動硬碟、U盤，加強防範！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！