系統管理員須知，抵禦Petya你行的！

6月27日晚間，一波新的勒索病毒襲來。經過跟進分析，這次攻擊是Petya勒索病毒的新變種。該勒索病毒已在俄羅斯、英國、烏克蘭等在內的歐洲多個國家迅速蔓延，國內也已出現傳播案例。

經過分析，該樣本與之前收到廣泛關注的WannaCry病毒相似，同樣利用了MS17-010（永恆之藍）漏洞進行傳播。Petya勒索變種成功執行後，首先會嘗試利用漏洞將自身複製在遠程計算機下的C:Windows目錄中。但由於先前WannaCry的傳播使廠商及用戶進行了防範升級，該變種在傳播途徑上採取了郵件、下載器和蠕蟲等多種組合傳播方式以加快傳播，其中使用了WMIC、PsExec等管理工具。

其中WMIC擴展WMI（Windows Management Instrumentation，Windows管理工具），提供了從命令行介面和批命令腳本執行系統管理的支持。PsExec 是一個輕型的 telnet 替代工具，它使您可執行其他系統上的進程，並且可以獲得與控制台應用程序相當的完全交互性。WMIC和PsExec廣泛被系統管理員，IT運維人員使用。

勒索樣本通過釋放一個臨時文件 *.tmp，該臨時文件為windows賬戶信息（用戶名，密碼）竊取工具，該黑客工具能獲取到中毒計算機存儲的登錄其他系統和服務的用戶名、密碼，並將其傳送給母體。

勒索樣本利用獲取到登錄其他系統的用戶名密碼，枚舉網路上的計算機，複製自身到網路計算機上，並嘗試使用WMIC命令，在遠程機器啟動惡意DLL

同時勒索樣本也會嘗試使用本身釋放的PsExec.exe控制網路中其他計算機，以達到傳播自身的目的。

其中，無論是WMIC方式還是PsExec方式，如果獲取到的用戶信息不屬於Administrator，該病毒都不可以實現傳播。

綜上分析，一旦擁有管理許可權的域控制伺服器被最新Petya變種攻陷，域控制伺服器管理的計算機都會面臨被感染的風險。

騰訊安全反病毒實驗室建議

1、 除非真正需要，不要隨意給用戶開設管理員許可權。

2、 加強對域控制伺服器的安全防護，更新補丁。

3、 加固策略，禁止域控管理員帳號登錄終端。

4、禁止使用域控管理員等高許可權帳號運行業務服務，避免域控帳號泄露。

5、終端網路屏蔽非必要來源的入站445和135埠請求。

騰訊電腦管家可以成功攔截該勒索病毒，並針對該類型病毒開發了免疫工具，保證用戶免受危害，用戶可以前往騰訊電腦管家官網下載電腦管家和勒索病毒免疫工具。

WannaCry與Petya等勒索病毒以及變種的相繼出現和爆發，表明目前對抗勒索病毒的形式嚴峻，任重道遠，在保護用戶數據安全的戰場上，騰訊反病毒實驗室會時刻戰鬥在最前線，同時也呼籲全行業可以協同作戰，讓勒索病毒無所遁形。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！