和永恆之藍勒索病毒一樣坑！Petya勒索病毒怎麼查殺？

提到永恆之藍勒索病毒，許多電腦用戶都非常有印象，甚至心有餘悸。而永恆之藍勒索病毒之後，又有一款全新的勒索病毒盯上了我們的電腦。6月27日，一款叫做：Petya勒索病毒的病毒攻擊了包括俄羅斯、英國、烏克蘭等在內的歐洲多個國家，而騰訊安全反病毒實驗室發現，國內的不少電腦也被Petya勒索病毒這一種病毒盯上了。那麼，如何預防和查殺Petya勒索病毒？一起來看看今天的教程！

Petya勒索病毒預防和查殺教程：

最簡單的方法

建議安裝最新版騰訊電腦管家，並修復系統漏洞;遇到可疑文件，特別是陌生郵件中的附件，不要輕易打開，首先使用電腦管家進行掃描，或上傳至哈勃分析系統對文件進行安全性檢測。

當然，電腦里沒有安裝騰訊電腦管家也可以按照下面的方法進行查殺！

【普通用戶】

一、下載「勒索病毒離線版免疫工具」；

1、在另一台無重要文檔的電腦上下載電腦管家的「勒索病毒離線版免疫工具」（簡稱「免疫工具」）；

2、將「免疫工具」拷貝至安全的U盤或移動硬碟下載免疫工具；

注意：免疫工具支持我的電腦系統嗎？若系統不支持，請下載微軟官方補丁包；

二、斷網備份重要文檔

1、若電腦插了網線，則先拔掉網線；若電腦通過路由器連接wifi，則先關閉路由器。

2、將電腦中的重要文檔拷貝或移動至安全的硬碟或U盤。

三、運行免疫工具，修復漏洞

1、拷貝U盤或移動硬碟里的「勒索病毒離線版免疫工具」到電腦。

2、雙擊運行，開始修復漏洞。

3、稍等片刻，等待漏洞修復完，重啟電腦，就可以正常上網了。

四、開啟實時防護和文檔守護者工具，預防變種攻擊。

1、下載電腦管家最新版，保持實時防護狀態開啟（默認已開啟）。

2、打開電腦管家的文檔守護者工具，自動備份重要文檔。

【管理員用戶】

一、禁止接入層交換機PC網段之間135、139、445三個埠訪問；

二、要求所有員工按照前文1-4步修復漏洞；

三、你可以用「管理員助手」確認員工電腦漏洞是否修復；

命令行：MS_17_010_Scan.exe192.168.164.128。

相關閱讀：Petya勒索病毒運行原理

6月27日，據國外媒體在twitter爆料，烏克蘭政府機構遭大規模攻擊，其中烏克蘭副總理的電腦均遭受攻擊。目前為止，僅俄羅斯和烏克蘭兩國就有80多家公司被Petya病毒感染。該病毒代號為「Petya」，騰訊電腦管家溯源追蹤到區最早攻擊發生在2017年6月27號早上，通過郵箱附件傳播。

病毒傳播方式與今年5月爆發的WannaCry病毒非常相似。病毒連接時使用的是「永恆之藍」（EternalBlue）漏洞，這個漏洞在之前的WannaCry勒索病毒中也被使用過，是造成WannaCry全球快速爆發的重要原因之一，此次Petya勒索病毒也是藉助了此漏洞達到了快速傳播的目的。

騰訊電腦管家分析后發現病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在445等埠使用SMB協議進行連接。同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟后，會顯示一個偽裝的界面，假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。加密完成後，病毒才露出真正的嘴臉，要求受害者支付贖金。

經過騰訊安全反病毒實驗室對病毒樣本深度分析，發現Petya勒索病毒具備以下七大特徵：

1. 自刪除；

2. 寫磁碟引導區，修改MBR；

3. 添加定時任務，定時關機；

4. 嘗試向網路中其他電腦複製自身，企圖更廣範圍的傳播，使用wmic或者psecec調用自身運行；

5. 全盤遍歷文件，加密擁有特定後綴名的文件；

6. 利用「永恆之藍「漏洞攻擊其他電腦。

7. 關機重啟后，顯示勒索頁面。

目前，該病毒已在歐洲爆發，騰訊安全反病毒實驗室威脅情報系統會密切關注該病毒的傳播趨勢。同時，騰訊安全反病毒實驗室建議安裝最新版騰訊電腦管家，並修復系統漏洞;遇到可疑文件，特別是陌生郵件中的附件，不要輕易打開，首先使用電腦管家進行掃描，或上傳至哈勃分析系統對文件進行安全性檢測。