繼 WannaCry 病毒席捲英國之後,近日一種名為 Petya 的新型勒索病毒席捲了歐洲。烏克蘭、俄羅斯等國家的大量政府、銀行、公司的主機均遭受到相關攻擊。據悉,新病毒在歐洲的變種傳播速度達到每 10 分鐘感染 5000 余台電腦。
在此,網易雲特別提醒還未修復相關安全漏洞的用戶儘快完成修復工作,避免遭受不必要的損失。
Petya 的危害:
Petya 和 WannaCry 類似,都是加密勒索病毒,傳播方式都是通過 Windows 主機的漏洞進行傳播。不同之處在於,Petya 激活后,會重啟受害者的計算機並加密硬碟驅動器主文件表(MFT),使主引導記錄(MBR)不可操作,通過佔用物理磁碟上的文件名、大小和位置信息來限制對完整系統的訪問,進而致使電腦無法啟動,一旦中招會試圖感染區域網內其他主機。
機器重啟後會載入勒索頁面,用戶無法進行任何操作。根據勒索病毒中顯示的信息,用戶需要向對方支付價值 300 美金的比特幣才能對其解鎖。
漏洞應對建議:
感染前的預防措施:
1. 為系統打補丁
修復永恆之藍 (ms17-010)漏洞。補丁地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.asx
XP 和 2003 用戶請到以下鏈接下載(補丁地址):http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
修復 RTF 漏洞(CVE-2017-0199),防止利用微軟 Office 和寫字板進行遠程代碼執行。補丁地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
2. 臨時關閉系統的 WMI 服務和刪除 admin$ 共享,阻斷蠕蟲的橫向傳播方式。
具體操作為,右鍵 cmd.exe "以管理員身份運行",輸入如下命令:
net stop winmgmt
net share admin$ /delete
3. 關閉 445,135,139 埠,或禁止外網訪問這些埠。
此外,這裡再提供一份安全專家的 「疫苗」。據來自 Cybereason 的安全研究人員 Amit Serper 的分析,Petya 會首先搜索名為 perfc 的本地文件,如果說該名稱文件存在,則退出加密過程。也就是說,用戶只需要在 C:\Windows 文件夾下建立名為 perfc 的文件,並將其設為 「只讀」 即可。
感染后的補救措施:
如您已感染該病毒,請不要交納贖金,目前黑客使用的郵箱已被關閉,交贖金不會恢復文件。
由於在感染 Petya 的過程中,病毒會先重啟電腦載入惡意的磁碟主引導記錄(MBR)來加密文件,這中間會啟用一個偽造的載入界面。中招者如果能感知到重啟異常,在引導界面啟動系統前關機或拔掉電源,隨後可以通過設置 U 盤或光碟第一順序啟動 PE 系統,使用 PE 系統修復 MBR 或者直接轉移硬碟里的數據,可以在一定程度上避免文件的損失。
建議加固措施:
Windows 操作系統存在大量安全漏洞,提高安全意識養成良好習慣可以一定程度上避免遭受病毒:
1. 微軟對 Windows XP 和 Windows Server 2003 已不再更新,請使用高版本的 Windows 主機。
2. 開啟 Windows 自動更新。
3. 對任何郵件保持警惕性,不要輕易運行未知來源的任何附件,尤其是 rtf、doc 等格式。
4. 重要數據做好日常備份。
網易雲會持續關注該病毒的傳播動態,如有變化,將會第一時間更新信息與您同步。
有任何問題請隨時與我們聯繫。
以上由網易企業信息化服務提供商,湖南領先網路科技整理髮布。