【提醒】新一輪勒索病毒來襲，歐洲多國感染，連烏克蘭副總理的電腦都癱瘓了，你要這樣預防和解決！

一個月前的Wannacry勒索病毒事件大家還記憶猶新，全球150多個國家中招，北京時間27號晚間，一個新的Petya勒索病毒變種又開始肆虐，英國、烏克蘭、俄羅斯等歐洲多國已大面積感染。據一些媒體報告，國內一些外企電腦也遭遇癱瘓。

據報道，全球最大的廣告集團WPP，是英國第一家被病毒感染的公司，員工們已經被告知關閉電腦，不要使用公司WiFi。

衝擊最大的當屬烏克蘭。據悉，烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都受到了攻擊。此外，烏克蘭首都基輔的鮑里斯波爾國際機場也受到了影響，造成大面積的航班延誤，鐵路也中招……

受影響的烏克蘭

烏克蘭副總理羅岑科 · 帕夫洛稱職表示，他和烏克蘭政府的其他成員無法使用電腦。他還稱，政府的所有電腦都在播放這一被攻擊的畫面。他上傳的自己的電腦畫面文字顯示，「您的其中一個磁碟包含錯誤，需要修復」，並警告用戶不要關閉電腦，否則所有的數據都會丟失。

烏克蘭中招的ATM機

此外，俄羅斯（俄羅斯石油公司 Rosneft）、德國、西班牙、法國、丹麥（航運巨頭 AP Moller-Maersk）、印度、美國（律師事務所 DLA Piper）也受到不同程度的影響。

一旦感染，該病毒會加密磁碟主引導記錄（MBR），導致系統被鎖死無法正常啟動，然後在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會進一步加密文檔、視頻等磁碟文件。

黑客留下的勒索信要求受害者將比特幣發送到預定網址，然後通過郵件聯繫黑客解鎖文件。

它的勒索金額與此前Wannacry病毒完全一致，均為摺合300美元的比特幣。根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款，其「吸金」速度完全超越了Wannacry。

黑客要求受害者支付價值300美元的比特幣，但為了知道誰付款了，黑客還指示受害者通過郵件發送比特幣錢包ID和「個人安裝密匙」。解鎖密匙由勒索病毒隨機產生，並由數字和字母組成。因此要解鎖文件需要黑客提供特定的密匙。但現在這個過程不可能完成。

Posteo公司稱：「今天（德國時間）中午時分我們意識到勒索病毒製造者利用我們的郵箱聯繫，我們的反濫用團隊立即核實並直接關閉了該賬號。」

該公司還稱：「從中午開始勒索者不再能訪問該郵箱或發送郵件，也無法向該郵箱發送郵件。」

換句話說，受害者無法通過郵件聯繫黑客，也無法發送必要的信息解鎖文件。

截止目前，約有20位受害者向黑客的比特幣網址發送近5500美元的比特幣。

此前，國內的安全公司已確認該勒索病毒為 Petya 的變種，傳播方式與 WannaCry 類似，利用 EternalBlue（永恆之藍）和 OFFICE OLE 機制漏洞（CVE-2017-0199）進行傳播。

不過，卡巴斯基實驗室的分析人員表示，這種最新的威脅並不是之前報道中所稱的是一種 Petya 勒索軟體的變種，而是一種之前從未見過的全新勒索軟體。儘管這種勒索軟體同 Petya 在字元串上有所相似，但功能卻完全不同，並將其命名為 ExPetr 。

與 WannaCry 的差異

這次的新型勒索病毒變種，是利用系列漏洞進行傳播的新勒索病毒家族。與 5 月爆發的 WannaCry 相比，新型勒索病毒變種的傳播速度更快。此次勒索病毒的主要特點有：

1.該勒索病毒使用了多種方式在

內網

進行攻擊傳播，包括使用了 NSA 的武器庫中的永恆之藍、永恆浪漫系列遠程攻擊武器，以及利用內網共享的方式傳播。因此不僅沒有及時修復 NSA 武器庫漏洞的用戶會受影響，只要內網中有其他用戶受到攻擊，已經打了補丁的電腦也可能會受到攻擊。

2.此次的勒索病毒會導致電腦不可用

。此前的 WannaCry 病毒僅會加密用戶文件，但是用戶的電腦仍暫時可用。此次的勒索病毒會感染用戶電腦的引導區，導致用戶電腦無法正常開機（強制顯示勒索信息）。

3.此外，該勒索病毒加密的文件類型相比 WannaCry 少，一共有 65 種，而 WannaCry 為 178 種（包括常見文件類型）。

傳播方式

360 首席安全工程師鄭文彬稱，此次最新爆發的病毒具備了全自動化的攻擊能力，即使電腦打齊補丁，也可能被內網其他機器滲透感染。

根據 360 的威脅情報，有用戶收到帶有附件名為：「Order-20061017.doc「的郵件，該郵件附件為使用 CVE-2017-0199 漏洞的惡意文件，漏洞觸發後從 「http ://french-cooking.com/myguy.exe」 下載惡意程序執行。外部威脅情報顯示，該勒索軟體就是由此惡意程序最早傳播。

據分析，病毒作者很可能入侵了烏克蘭的專用會計軟體 me-doc，來進行最開始的傳播。他們將病毒程序偽裝成 me-doc 的升級程序給其用戶下發。

由於這是烏克蘭官方要求的報稅軟體，因此烏克蘭的大量基礎設施、政府、銀行、大型企業都受到攻擊，其他國家同烏克蘭有關聯的投資者和企業也收到攻擊，這展示了此次勒索病毒變種的一個針對性特徵，針對有報稅需求的企業單位進行攻擊也符合勒索病毒的牟利特點。

根據 360 安全中心監測，此次國內出現的勒索病毒新變種主要攻擊途徑是內網滲透，也就是利用 「管理員共享」 功能攻擊內網其他機器，相比已經被廣泛重視的 「永恆之藍」 漏洞更具殺傷力。

對受害者的初步建議：

1.目前勒索者使用的郵箱已經停止訪問，不建議支付贖金。

2.所有在 IDC 託管或自建機房有伺服器的企業，如果採用了 Windows 操作系統，立即安裝微軟補丁。

3.安全補丁對個人用戶來說相對簡單。只需自學裝載，就能完成。

4.對大型企業或組織機構，面對成百上千台機器，最好還是能使用客戶端進行集中管理。

5.可靠的數據備份可以將勒索軟體帶來的損失最小化。

此次勒索軟體影響操作系統：

Windows XP 及以上版本。

如未被感染：

?

郵件防範

由於此次 「必加」（Petya）勒索軟體變種首次傳播通過郵件傳播，所以應警惕釣魚郵件。建議收到帶不明附件的郵件，請勿打開；收到帶不明鏈接的郵件，請勿點擊鏈接。

? 更新操作系統補丁（MS）

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

? 更新 Microsoft Office/WordPad 遠程執行代碼漏洞（CVE-2017-0199）補丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

? 禁用 WMI 服務

禁用操作方法：https://zhidao.baidu.com/question/91063891.html

? 更改空口令和弱口令

如操作系統存在空口令或弱口令的情況，請及時將口令更改為高強度的口令。

? 免疫工具

安天開發的 「魔窟」（WannaCry）免疫工具，針對此次事件免疫仍然有效。

下載地址：http://www.antiy.com/tools.html

如已被感染：

? 如無重要文件，建議重新安裝系統，更新補丁、禁用 WMI 服務、使用免疫工具進行免疫。

? 有重要文件被加密，如已開啟 Windows 自動鏡像功能，可嘗試恢復鏡像；或等待後續可能出現解密工具。

來源：雷鋒網、新浪網。

轉載及廣告業務請聯繫：

info@de-life.de

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 德國生活報 的精彩文章: