關於新勒索病毒Petya你最想知道的5個問題

1

如何防範勒索病毒Petya？

火絨安全團隊通宵分析病毒代碼、緊急升級了病毒庫，開啟「火絨安全軟體」即可攔截和查殺Petya病毒。

此外，火絨工程師建議用戶：

將重要文件進行備份。

不要輕易點擊不明附件，尤其是rtf、doc等格式文件。

安裝Windows系統補丁（MS）

下載地址：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

安裝Microsoft Office/WordPad 遠程執行代碼漏洞（CVE -2017-0199）補丁

下載地址：https://technet.microsoft.com/zh-cn/office/mt465751.aspx

禁用WMI服務

2

中毒之後支付贖金可以找迴文件嗎？

但是截止至發稿前，此郵箱的供應商Posteo宣布，已經將該郵箱關閉。所以即使支付了贖金，病毒作者也無法收到郵件，所以也就無法提供密碼。

3

中毒後，能否通過直接拔掉電源阻止加密文件過程？

不能。病毒一旦運行，將會在一個小時內重啟，在這段時間內，特定後綴的文件，將被加密。當電腦重啟後出現偽造的系統修復界面時，拔掉電源為時已晚，並不能挽回已經被加密的文件。

4

不點陌生郵件、打補丁就萬事大吉了么？

NO！Petya採用多種方式傳播，除了很多安全廠商提到的釣魚郵件，以及利用「永恆之藍」漏洞傳播之外，還通過以下方式傳播：

1、通過系統自帶的WMIC連接遠程計算機，複製並執行病毒程序。

2、通過釋放到Windows目錄下的dllhost（Sysinternals的PeExec）連接遠程計算機，複製並執行病毒程序。

也就是說，如果某個企業的一台電腦因病毒郵件感染Petya，那麼整個企業內網中包含「永恆之藍」漏洞的電腦都有可能被感染。即使安裝了「永恆之藍」漏洞補丁，仍有可能被感染。

5

「Petya 」曾經出現過?

本次勒索病毒剛出現時曾被稱作「Petya 」，被認為是去年Petya的變種。火絨安全實驗室認為，「新Petya 」雖然在加密手段、勒索方式上與「老Petya 」極為相似（即都修改MBR，在顯示磁碟掃描界面的同時利用MFT加密磁碟）。但是，二者在傳播方式上有著明顯不同，「老Petya 」本身沒有傳播能力。而「新Petya」除了自身攜帶「永恆之藍」利用代碼以外，還有其他傳播方式，是其增強版。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！