瑞星：Petya勒索病毒全球爆發 目前已影響到中國

2017年6月28日，在「永恆之藍」勒索病毒陰霾還未完全消散時，一個名為「Petya（中文音譯彼佳）」的最新勒索病毒再度肆虐全球。目前，包括烏克蘭首都國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。目前影響的國家有UK、Ukraine、India、Netherlands、Spain、Denmark等。據瑞星反病毒監測網監測，目前在國內也出現用戶遭到攻擊的情況。

根據瑞星威脅情報數據平台顯示，Petya勒索病毒目前在北京、上海、甘肅、江蘇等地均有少量感染。目前已有36人交付贖金。

圖：勒索病毒地址及交付贖金人數

據瑞星安全專家通過對本次事件分析發現，Petya勒索病毒釆用（CVE-2017-0199) RTF漏洞進行釣魚攻擊，通過EternalBlue（永恆之藍）和EternalRomance（永恆浪漫）漏洞橫向傳播，用戶一旦感染，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。當加密完成後，病毒要求受害者支付價值300美元的比特幣之後，才會回復解密密鑰。

目前，瑞星所有企業級產品與個人級產品均可對該病毒進行攔截並查殺，希望廣大瑞星用戶將瑞星產品更新到最新版。

Virustotal網站掃描Petya勒索病毒 瑞星等殺毒軟體成功查殺截圖

瑞星防護建議

1、更新操作系統補丁（MS）

（請戳鏈接）

2、更新 Microsoft Office/WordPad 遠程執行代碼漏洞（CVE-2017-0199）補丁

3、禁用 WMI 服務

4、安裝殺毒軟體，並開啟主動防禦。

5、不要點擊陌生郵件的附件。

病毒詳細分析

背景介紹

新勒索病毒petya襲擊多國，通過EternalBlue（永恆之藍）和EternalRomance（永恆浪漫）漏洞傳播。與WannaCry相比，該病毒會加密NTFS分區、覆蓋MBR、阻止機器正常啟動，使計算機無法使用，影響更加嚴重。

加密時會偽裝磁碟修復：

加密後會顯示如下勒索界面：

圖：攻擊流程

加密方式：

圖：加密磁碟

啟動后就會執行加密

圖：重啟機器

加密的文件類型

圖：加密文件類型

傳播方式:

病毒採用多種感染方式，主要通過郵件投毒的方式進行定向攻擊，利用EternalBlue（永恆之藍）和EternalRomance（永恆浪漫）漏洞在內網橫向滲透。

圖：漏洞利用

圖：區域網傳播

勒索信息：

作者郵箱和比特幣錢包地址

圖：作者郵箱和錢包地址

加密后的勒索信

圖：勒索信

通過查看作者比特幣錢包交易記錄，發現已經有受害者向作者支付比特幣