重大預警——Petya勒索病毒安全預警通告

安全通告

北京時間2017年6月27日晚，據外媒消息，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國正在遭遇Petya勒索病毒襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。

此次黑客使用的是Petya勒索病毒的變種Petwarp，使用的攻擊方式和WannaCry相同，360天擎（企業版）和360安全衛士（個人版）可以查殺該病毒。

據悉，該病毒和勒索軟體很類似，都是遠程鎖定設備，然後索要贖金。據賽門鐵克最新發布的消息顯示此次攻擊時仍然使用了永恆之藍勒索蠕蟲，還會獲取系統用戶名與密碼進行內網傳播。

360安全監測與響應中心也將持續關注該事件進展，並第一時間為您更新該漏洞信息。

事件描述

Petya和傳統的勒索軟體不同，不會對電腦中的每個文件都進行加密，而是通過加密硬碟驅動器主文件表（MFT），使主引導記錄（MBR）不可操作，通過佔用物理磁碟上的文件名，大小和位置的信息來限制對完整系統的訪問，從而讓電腦無法啟動。如果想要恢復，需要支付價值相當於300美元的比特幣。

被感染的機器屏幕會顯示的告知付贖金的界面

風險等級

360安全監測與響應中心風險評級為：危急

安全操作提示

從目前掌握的情況來看：

1. 不要輕易點擊不明附件，尤其是rtf、doc等格式，可以安裝360天擎（企業版）和360安全衛士（個人版）等相關安全產品進行查殺。

2. 及時更新windows系統補丁，具體修復方案請參考「永恆之藍」漏洞修復工具。

3. 內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

修復工具

360企業安全天擎團隊開發的勒索蠕蟲漏洞修復工具，可根本解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復工具集成免疫、SMB服務關閉和各系統下MS17-010漏洞檢測與修復於一體。可在離線網路環境下一鍵式修復系統存在的MS17-010漏洞，工具下載地址：

http://b.360.cn/other/onionwormfix

緩解措施

關閉TCP 135埠

建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。

停止伺服器的WMI服務

WMI（Windows Management Instrumentation Windows 管理規範）是一項核

心的 Windows 管理技術 你可以通過如下方法停止 ：

在服務頁面開啟WMI服務。在開始-運行，輸入services.msc，進入服務。

或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

在服務頁面，按W，找到WMI服務，找到后，雙擊 ，直接點擊停止服務即可，如下圖所示：