Zi 字媒體

5月12日，一個黑客坐在電腦前，輕輕敲下了回車鍵……當晚，這種名為WannaCry的「勒索病毒」在全球較大範圍內傳播，感染了包括醫院、教育、能源、通信、製造業以及政府部門在內的多個領域，造成了一定影響。尤其是現在臨近期末，很多學生在電腦里存有畢業論文、答辯等重要資料，結果，電腦中招……甚至多所醫院被迫取消手術，出現了病人只能等待的場景……更麻煩的是，此病毒還在升級，該變種的傳播速度比之前更快了。在WannaCry病毒剛剛席捲150多個國家后，近日代號為petya的勒索病毒襲擊了英國、烏克蘭等多個國家。騰訊安全團隊表示，國內已有用戶中招，並確認該病毒樣本通過永恆之藍漏洞傳播。Petya勒索病毒感染的電腦。騰訊安全反病毒實驗室供圖據美聯社等外媒27日報道，新一輪超強電腦病毒正在包括俄羅斯、英國、烏克蘭等在內的歐洲多個國家迅速蔓延。有機場、銀行及大型企業被報告感染病毒。報道稱，這輪病毒足以與五月席捲全球的勒索病毒的攻擊性相提並論。據新華社消息，俄羅斯一些機構和企業的電腦27日遭勒索病毒攻擊，導致相關網站和系統無法正常工作。俄羅斯石油公司當天在社交媒體「推特」上發布聲明說，該公司的伺服器遭到病毒攻擊，導致公司官網一度不能訪問。此外，公司還不得不啟用備用生產管理系統。同一天，烏克蘭部分政府機構及多家重要企業的電腦遭遇大範圍黑客攻擊，多地出現互聯網中斷和電腦故障。烏國家安全部門和警方已採取措施並展開調查。騰訊反病毒實驗室表示，已經確認該病毒樣本通過永恆之藍(EternalBlue)漏洞傳播，即NSA(美國國家安全局)泄漏的文件中一個漏洞代碼名稱。此前WannaCry傳播方式利用「EternalBlue」漏洞，此次Petya勒索病毒也藉助此漏洞達到了快速傳播的目的。此次黑客攻擊正值今年5月全球爆發大規模的勒索病毒攻擊之後不久。今年5月，WannaCry病毒對全球150多個國家和地區的逾30萬部電腦系統發動攻擊，並鎖定了被攻擊電腦中的文件，進而要求受害者支付價值約300美元的比特幣才能解鎖。據外媒報道，Petya病毒鎖住了大量的電腦，亦要求用戶支付300美元的加密數字貨幣才能解鎖。據騰訊安全反病毒實驗室旗下的哈勃分析系統分析，petya病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在445等埠使用SMB協議進行連接。同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟后，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。當加密完成後，病毒才要求受害者支付價值300美元的比特幣之後，才會回復解密密鑰。防範Petya勒索病毒的工作重點其實是釣魚郵件攻擊的防禦（以及修補「另外一個Windows漏洞」）上，簡單有效的防禦措施總結如下：1.限制管理員許可權Petya勒索病毒的運行需要管理員許可權，企業網管可以通過嚴格審查限制管理員許可權的方式減少攻擊面，個人用戶可以考慮使用非管理員許可權的普通賬號登陸進行日常操作。2.關閉系統崩潰重啟Petya勒索病毒的「發病」需要系統重啟，因此想辦法避免系統重啟也能有效防禦Petya並爭取漏洞修補或者文件搶救時間。大多數Windows系統都被設置為崩潰自動重啟，用戶可以在系統中手關閉此設置。只要系統不重新啟動引導，病毒就沒有機會加密MFT主文件分區表，用戶就有機會備份磁碟中的文件（微軟官方教程）。3.立刻安裝微軟針對SMB漏洞的MS17-010補丁與防範Wannacry病毒一樣禁用SMBv1.反正對待大部分的漏洞，就是打補丁！打補丁！4.立刻警告並培訓終端用戶加強對釣魚郵件附件的防範不要點擊未知鏈接和附件。這一條也許是最重要的。5.立即更新殺毒軟體目前主流殺毒軟體都已經發布了針對Petya的病毒樣本更新。6.備份重要數據重要文件進行本地磁碟冷存儲備份，以及雲存儲備份。