10分鐘感染5000台電腦！新勒索病毒再度來襲！普通用戶如何應對？

感染全球150多個國家的Wannacry勒索病毒事件剛剛平息，Petya勒索病毒變種又開始肆虐，烏克蘭、俄羅斯等歐洲多國已大面積感染。據360安全中心監測，目前國內也出現了病毒傳播跡象，360安全衛士可全面防禦此病毒，確保用戶的系統和數據安全。

具備全自動化攻擊能力

與5月爆發的Wannacry相比，Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞，還會利用「管理員共享」功能在內網自動滲透。在此次病毒傳播的歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷。

甚至烏克蘭副總理的電腦也遭到感染……

據360首席安全工程師鄭文彬介紹說，Petya勒索病毒最早出現在2016年初，以前主要利用電子郵件傳播。最新爆發的類似Petya的病毒變種則具備了全自動化的攻擊能力，即使電腦打齊補丁，也可能被內網其他機器滲透感染，必須開啟專業安全軟體進行攔截，才能確保電腦不會中毒。

Petya勒索病毒是什麼？

Petya勒索病毒通過永恆之藍傳播，並被判定為高度風險。該病毒會加密磁碟主引導記錄（MBR），導致系統被鎖死無法正常啟動，然後在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會進一步加密文檔、視頻等磁碟文件。它的勒索金額與此前Wannacry病毒完全一致，均為摺合300美元的比特幣。根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款，其「吸金」速度完全超越了Wannacry。

根據分析結果，病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在445等埠使用SMB協議進行連接。

深入分析發現，病毒連接時使用的是「永恆之藍」 （EternalBlue）漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用，是造成WannaCry全球快速爆發的重要原因之一，此次Petya勒索病毒也藉助此漏洞達到了快速傳播的目的。

同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

電腦重啟后，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。

當加密完成後，病毒才露出真正的嘴臉，要求受害者支付價值300美元的比特幣之後，才會回復解密密鑰。

這個加密流程與2016年起出現的Petya勒索病毒的流程相似，twitter上也有安全人員確認了二者的相似關係。但是不同的是，之前的Petya病毒要求訪問暗網地址獲取解密密鑰，而此次爆發的病毒直接留下了一個Email郵箱作為聯繫方式。

最新消息顯示，由於病毒作者的勒索郵箱已經被封，現在交贖金也無法恢復系統。360安全衛士技術團隊正在緊急研發恢復工具，將為國內外勒索病毒新變種的受害者提供救援服務。

國內主要攻擊內網其他機器

根據360安全中心監測，此次國內出現的勒索病毒新變種主要攻擊途徑是內網滲透，也就是利用「管理員共享」功能攻擊內網其他機器，相比已經被廣泛重視的「永恆之藍」漏洞更具殺傷力。

對此，用戶可使用360安全衛士的「系統防黑加固」功能，一鍵檢測關閉「管理員共享」等風險項目，保護企業和機構內網用戶預防病毒。據介紹，360安全衛士無需更新就可以全面攔截Petya等各類勒索病毒及變種。

電腦這樣設置可以防中招

1.、不要輕易點擊不明附件，尤其是rtf、doc等格式。

2、及時更新Windows系統補丁，具體修復方案請參考「永恆之藍」漏洞修復工具。

3、內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

4、關閉TCP 135埠

建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。

5、停止伺服器的WMI服務

WMI（Windows Management Instrumentation Windows 管理規範）是一項核心的 Windows 管理技術 你可以通過如下方法停止 ：在服務頁面開啟WMI服務。

在開始-運行，輸入services.msc，進入服務。或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

在服務頁面，按W，找到WMI服務，找到后，雙擊 ，直接點擊停止服務即可，如下圖所示：

6、斷網備份重要文檔

如果電腦插了網線，則先拔掉網線；如果電腦通過路由器連接wifi，則先關閉路由器。隨後再將電腦中的重要文檔拷貝或移動至安全的硬碟或U盤。

7、運行免疫工具，修復漏洞

首先拷貝U盤或移動硬碟里的「免疫工具」到電腦。待漏洞修復完成後，重啟電腦，就可以正常上網了。