網易雲對 Petya 勒索病毒的安全建議

繼 WannaCry 病毒席捲英國之後，近日一種名為 Petya 的新型勒索病毒席捲了歐洲。烏克蘭、俄羅斯等國家的大量政府、銀行、公司的主機均遭受到相關攻擊。據悉，新病毒在歐洲的變種傳播速度達到每 10 分鐘感染 5000 余台電腦。

在此，網易雲特別提醒還未修復相關安全漏洞的用戶儘快完成修復工作，避免遭受不必要的損失。

Petya 的危害：

Petya 和 WannaCry 類似，都是加密勒索病毒，傳播方式都是通過 Windows 主機的漏洞進行傳播。不同之處在於，Petya 激活后，會重啟受害者的計算機並加密硬碟驅動器主文件表（MFT），使主引導記錄（MBR）不可操作，通過佔用物理磁碟上的文件名、大小和位置信息來限制對完整系統的訪問，進而致使電腦無法啟動，一旦中招會試圖感染區域網內其他主機。

機器重啟後會載入勒索頁面，用戶無法進行任何操作。根據勒索病毒中顯示的信息，用戶需要向對方支付價值 300 美金的比特幣才能對其解鎖。

漏洞應對建議：

感染前的預防措施：

1. 為系統打補丁

修復永恆之藍 (ms17-010）漏洞。補丁地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.asx

XP 和 2003 用戶請到以下鏈接下載（補丁地址）：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

修復 RTF 漏洞（CVE-2017-0199），防止利用微軟 Office 和寫字板進行遠程代碼執行。補丁地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

2. 臨時關閉系統的 WMI 服務和刪除 admin$ 共享，阻斷蠕蟲的橫向傳播方式。

具體操作為，右鍵 cmd.exe "以管理員身份運行"，輸入如下命令：

net stop winmgmt

net share admin$ /delete

3. 關閉 445,135,139 埠，或禁止外網訪問這些埠。

此外，這裡再提供一份安全專家的 「疫苗」。據來自 Cybereason 的安全研究人員 Amit Serper 的分析，Petya 會首先搜索名為 perfc 的本地文件，如果說該名稱文件存在，則退出加密過程。也就是說，用戶只需要在 C:\Windows 文件夾下建立名為 perfc 的文件，並將其設為 「只讀」 即可。

感染后的補救措施：

如您已感染該病毒，請不要交納贖金，目前黑客使用的郵箱已被關閉，交贖金不會恢復文件。

由於在感染 Petya 的過程中，病毒會先重啟電腦載入惡意的磁碟主引導記錄（MBR）來加密文件，這中間會啟用一個偽造的載入界面。中招者如果能感知到重啟異常，在引導界面啟動系統前關機或拔掉電源，隨後可以通過設置 U 盤或光碟第一順序啟動 PE 系統，使用 PE 系統修復 MBR 或者直接轉移硬碟里的數據，可以在一定程度上避免文件的損失。

建議加固措施：

Windows 操作系統存在大量安全漏洞，提高安全意識養成良好習慣可以一定程度上避免遭受病毒：

1. 微軟對 Windows XP 和 Windows Server 2003 已不再更新，請使用高版本的 Windows 主機。

2. 開啟 Windows 自動更新。

3. 對任何郵件保持警惕性，不要輕易運行未知來源的任何附件，尤其是 rtf、doc 等格式。

4. 重要數據做好日常備份。

網易雲會持續關注該病毒的傳播動態，如有變化，將會第一時間更新信息與您同步。

有任何問題請隨時與我們聯繫。

以上由網易企業信息化服務提供商，湖南領先網路科技整理髮布。