今年5月「勒索病毒」全球肆虐,大量的公共設施、校園網、區域網用戶都曾不慎中招。參見 (紅色警報!全球爆發「勒索病毒」,德國機場、火車站已經淪陷!多國基礎設施癱瘓!)
2017年6月27日晚,烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國遭受大規模Petya勒索病毒襲擊,此後不久,Petya病毒就迅速蔓延到比利時、巴西、英國、德國、俄羅斯、美國以及其它多個國家和地區。
該病毒遠程鎖定設備,然後索要贖金。其中,烏克蘭地區受災最為嚴重,政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響,包括首都基輔的鮑里斯波爾國際機場(Boryspil International Airport)、烏克蘭國家儲蓄銀行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄羅斯石油公司(Rosneft)和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。
Petya勒索病毒感染的電腦。
新勒索病毒Petya不僅對文件進行加密,而且直接將整個硬碟加密、鎖死,在出現以下界面並癱瘓后,其會自動向區域網內部的其它伺服器及終端進行傳播。同時,用戶的電腦開機后則會黑屏,並顯示如下的勒索信↓
信中稱,用戶想要解鎖,需要向黑客的賬戶轉摺合300美元的比特幣。根據比特幣交易市場的公開數據顯示,病毒爆發最初一小時就有10筆贖金付款,其「吸金」速度完全超越了WannaCry。
與之前病毒相比,威脅升級專家稱,這輪病毒足以與5月席捲全球的勒索病毒的攻擊性相提並論。 而且與之相比,Petya勒索病毒變種的傳播速度更快。
它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞,還會利用「管理員共享」功能在內網自動滲透。
在歐洲國家重災區,新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦,多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷,甚至烏克蘭副總理的電腦也遭到感染。
此外,Petya勒索病毒還在以下方面威脅程度升級:
感染並加密本地文件的病毒進行了更新,殺毒軟體除非升級至最新版病毒庫,否則無法查殺及阻止其加密本機文件系統;
Petya綜合利用了「5.12WannaCry」及「6.23勒索病毒新變種」所利用的所有Windows系統漏洞,包括MS17-010(5.12WannaCry永恆之藍勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補丁對應的多個系統漏洞進行傳播。
本次新變異病毒(Petya)是直接將整個硬碟加密和鎖死,用戶重啟后直接進入勒索界面,若不支付比特幣將無法進入系統。
由於目前黑客用來接受轉賬的比特幣賬戶已經被封,所以即使用戶給黑客轉賬也不能解鎖自己的電腦了。
所以,為了自己的電腦設備不受影響,可以按如下的方法設置電腦↓
下載修復補丁
黑客是利用微軟Windows系統的新漏洞,開發出新變種的勒索病毒,並在過去幾天向互聯網展開了初步攻擊。
在6月13日,微軟就已經在官網上發布了新漏洞有關的補丁。下載地址:https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
操作指南:
先打開https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms,會看到CVE-2017-8543、CVE-2017-8464,找到相應版本的補丁進行下載(目前XP、Window2003不受影響),並執行相應主機及個人電腦的補丁升級。
限制埠訪問
1、打開控制面板-系統與安全-Windows防火牆,點擊左側啟動或關閉Windows防火牆
2、選擇啟動防火牆,並點擊確定
3、點擊高級設置
4、點擊入站規則,新建規則
5、選擇埠,下一步
6、特定本地埠,輸入445,下一步
7、選擇阻止連接,下一步
8、配置文件,全選,下一步
9、名稱,可以任意輸入,完成即可。
10.將第6步中的埠替換為135后,重複一次所有步驟。
停止伺服器的WMI服務
WMI(Windows Management Instrumentation Windows 管理規範)是一項核心的 Windows 管理技術 你可以通過如下方法停止 :
1、在服務頁面開啟WMI服務。在開始-運行,輸入services.msc,進入服務。
或者,在控制面板,查看方式選擇大圖標,選擇管理工具,在管理工具中雙擊服務。
2、在服務頁面,按W,找到WMI服務,找到后,雙擊 ,直接點擊停止服務即可,如下圖所示:
更新殺毒軟體
目前,市面上主流的殺毒軟體與電腦保護軟體均有插件或程序,可以絕大程度上保護電腦不受新型勒索病毒感染。
用戶只需在軟體內搜索Petya,或到其官網搜索修復工具即可。
提高用戶安全意識
1、限制管理員許可權。
Petya勒索病毒的運行需要管理員許可權,企業網管可以通過嚴格審查限制管理員許可權的方式減少攻擊面,個人用戶可以考慮使用非管理員許可權的普通賬號登陸進行日常操作。
2、關閉系統崩潰重啟。
Petya勒索病毒的「發病」需要系統重啟,因此想辦法避免系統重啟也能有效防禦Petya並爭取漏洞修補或者文件搶救時間。只要系統不重新啟動引導,病毒就沒有機會加密MFT主文件分區表,用戶就有機會備份磁碟中的文件(微軟官方教程)。
3、不要輕易點擊不明附件。
尤其是rtf、doc等格式。
4、備份重要數據。
重要文件進行本地磁碟冷存儲備份,以及雲存儲備份。
5、修改密碼
內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼,未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。
大叔在乎你的每一句留言
說出你的想法,讓世界知道!
關注「德國大叔」
對話框中輸入 「dd」
可以回顧丁丁主講的 「德語動詞天天講」