騰訊安全反病毒實驗室起底Petya勒索病毒「七宗罪」

6月27日，據國外媒體在twitter爆料，新一輪超強電腦病毒衝擊了包括俄羅斯、英國、烏克蘭等在內的歐洲多個國家，其中烏克蘭政府機構遭大規模攻擊，烏克蘭副總理的電腦也遭受攻擊，甚至導致切爾諾貝利核電站因使用微軟系統的感測器關閉，被迫人工檢測輻射水平。騰訊安全反病毒實驗室第一時間對收集到的病毒樣本進行了分析，目前騰訊電腦管家已可全面防禦該病毒，併發布了「勒索病毒離線版免疫工具」，廣大用戶可以利用免疫工具進行檢測，防患於未然。

同時值得關注的是，目前已確認有國內企業感染此病毒。騰訊電腦管家溯源追蹤到區最早攻擊發生在6月27日早上，通過郵箱附件傳播，根據烏克蘭CERT官方消息，郵件附件被確認為該次病毒攻擊的傳播源頭。騰訊電腦管家特此提醒廣大用戶，一定提高警惕，及時更新最新的Windows系統補丁，且不要輕易點擊不明附件，尤其是rtf、doc等格式。

此外，經過騰訊安全反病毒實驗室對病毒樣本深度分析，發現Petya勒索病毒具備以下七大特徵：

1. 自刪除

2. 寫磁碟引導區，修改MBR

3. 添加定時任務，定時關機

4. 嘗試向網路中其他電腦複製自身，企圖更廣範圍的傳播，使用wmic或者psecec調用自身運行

5. 全盤遍歷文件，加密擁有特定後綴名的文件

6. 利用「永恆之藍「漏洞攻擊其他電腦。

7. 關機重啟后，顯示勒索頁面。

目前，該病毒已在歐洲爆發，騰訊安全反病毒實驗室威脅情報系統會密切關注該病毒的傳播趨勢。同時，騰訊安全反病毒實驗室建議安裝最新版騰訊電腦管家，並修復系統漏洞;遇到可疑文件，特別是陌生郵件中的附件，不要輕易打開，首先使用電腦管家進行掃描，或上傳至哈勃分析系統(https://habo.qq.com/)對文件進行安全性檢測。

聲明：本文僅為傳遞更多網路信息，不代表ITBear觀點和意見，僅供參考了解，更不能作為投資使用依據。