新型勒索病毒再次來襲，連烏克蘭副總理也中招

北京時間6月27日晚21時，感染全球150多個國家的Wannacry勒索病毒事件剛剛平息，新一輪超強電腦病毒正在包括俄羅斯、英國、烏克蘭等在內的歐洲多個國家迅速蔓延。據悉，新型勒索病毒代號為「Petya」，已被研究人員確認該病毒樣本通過永恆之藍漏洞傳播，對用戶電腦進行加密，要求用戶支付300美元的加密數字貨幣才能解鎖。

與5月爆發的Wannacry相比，Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞，還會利用「管理員共享」功能在內網自動滲透。在歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷，甚至烏克蘭副總理的電腦、切爾諾貝利核電站的電腦系統也受到攻擊。國內已有用戶中招。

新型勒索病毒來勢洶洶，攻擊全球電腦網路

據外媒報道，這次勒索病毒首先攻擊了烏克蘭，該國全國電力系統，機場，國家銀行，以及通訊公司都「中招」。後來，病毒快速傳播到挪威，俄羅斯，丹麥、法國、英國等地區。

總部位於倫敦的全球最大廣告公司 WPP，是英國第一家被爆出受到波及的公司，WPP的員工們已經被告知關閉電腦，並且不要使用公司 WiFi。

此外，俄羅斯石油公司 Rosneft、丹麥航運巨頭 AP Moller-Maersk 也都遭到了攻擊。

而在美國，製藥巨頭Merck公司，以及最大的律師事務所DLA Piper，和新澤西州全球食品製造商Mondelez International Inc，以及位於賓夕法尼亞州的醫院都遭到病毒攻擊，這幾個機構都表示，目前網路已經停運，正在努力儘快解決這些問題。

不過，衝擊最大的當屬烏克蘭。據悉，烏克蘭一些商業銀行以及部分私人公司、零售企業、政府系統等都受到了攻擊。此外，烏克蘭首都基輔的鮑里斯波爾國際機場也受到了影響，很可能會造成大面積的航班延誤。烏克蘭副總理Pavel Rozenko在臉書上說：「正如你們猜測的那樣，我們（政府部門）的網路也崩潰了，所有內閣成員的電腦上都是這張圖片。」

他上傳的這張圖片提醒，他電腦的硬碟包含病毒，並需要修復，並警告不要關閉電腦，否則所有的數據都會失去。

支付贖金已無法恢復 影響較小

特別值得指出的是，Petya敲詐者病毒和WannaCry勒索病毒類似，都利用Windows SMB高危漏洞傳播。儘管5月WannaCry肆虐全球已經在世界範圍內受到廣泛關注且解決方案早已出爐，但各國仍有相當一部分企業甚至是大型企業仍然沒有為此採取適當的安全措施，此次受影響的企業正是因此中招。

目前國內也出現了病毒傳播跡象，但經過了上一輪勒索病毒的「洗禮」，這次受到的衝擊可能相對較小，用戶勿須為此恐慌，及時修補病毒傳播利用的漏洞即可，相關專業殺毒軟體也能攔截查殺Petya勒索病毒。

最新消息顯示，由於病毒作者的勒索郵箱已經被封，現在交贖金也無法恢復系統。所以請機子被感染的用戶不要輕易付贖金。根據相關交易信息顯示，已有30多名用戶支付了贖金，金額總計人民幣100000元。

新型勒索病毒預防與避免

已經中毒機器，立即斷網並關機斷電，時刻關注等待最新病毒進展。未中毒的機器，如果電腦裝有專業安全軟體，則可以放心開機聯網，能夠全面防禦勒索病毒變種；如果電腦「裸奔」，建議用戶先斷網再開機，通過U盤使用免疫工具，進行免疫后可以確保不會被病毒感染。

1、員工防護層面：

• a、及時升級Windows操作系統，目前微軟公司已發布相關補丁程序MS17-010，可通過微軟公司正規渠道進行升級。

• b、安裝並及時更新殺毒軟體。

• c、不要輕易打開來源不明的電子郵件。此次Petya勒索軟體變種首次傳播即通過郵件傳播，所以應警惕釣魚郵件。建議收到帶不明附件的郵件，請勿打開；收到帶不明鏈接的郵件，請勿點擊鏈接。

• e、定期在不同的存儲介質上備份計算機上的重要文件。

• f、養成良好的網路瀏覽習慣。不要輕易下載和運行未知網頁上的軟體，減少計算機被入侵的可能。

• g、使用「永恆之藍」漏洞離線修復工具包，完成漏洞的檢測、補丁與漏洞修復。

Windows操作系統全部官方版本補丁：

win XP和win server 2003超期服役的用戶更新補丁：https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?from=groupmessage&isappinstalled=0

安全狗「永恆之藍」漏洞離線修復工具包下載地址：

關閉防火牆及共享埠相關步驟可參考Wannacry應對操作：教你幾招免遭病毒勒索軟體敲詐！（附詳細步驟）

2、公司技術防護層面：

• a、出口防火牆上禁止135/137/138/139/445埠，隔絕內部與外部的埠開放；

• b、交換機上禁止135/137/138/139/445埠，隔絕內部這些高危埠互通；

• c、行為管理上禁止135/137/138/139/445埠，隔絕內部這些高危埠互通；

• d、IT部制定員工本機關閉135/137/138/139/445埠的腳本，避免員工感染並傳播；

• e、IT部將windows核心數據，跨機器渠道保存；

• f、增強員工的安全防範意識的宣導力度；

伺服器應急修復漏洞方案鏈接：

雲安全服務平台安全狗下載地址：http://down.safedog.cn/download/software/safedogfwqV5.0.rar

Wannacry 勒索病毒事件回顧

2017年5月12日20時左右，國家網路與信息安全信息中心緊急通報：新型病毒從5月12日起在全球範圍傳播擴散，已影響到包括用戶在內的多個國家的用戶。該勒索病毒利用Windows操作系統445埠存在的漏洞進行傳播，並具有自我複製、主動傳播的特性。勒索病毒感染用戶計算機后，將對計算機中的文檔、圖片等實施高強度加密，並向用戶勒索贖金。隨後， WannaCry(永恆之藍)勒索蠕蟲全球爆發，傳播迅速，愈演愈烈，超150個國家，10萬家企業、政府機構中招，全球「淪陷」，儼然一場空前的大災難······

美亞柏科啟動應急響應機制，為用戶挽回損失

1、5月13日下午

發布《緊急擴散|勒索病毒全球大爆發，教你幾招免遭敲詐！（附詳細步驟）》，積極傳播安全防範措施。（截至5月15日晚，相關推送閱讀累計達10萬人次，對用戶預警宣傳起到很大的作用，積極遏制了病毒帶來的危害。）

2、5月14日晚間

緊急推出恢復軟體供全球用戶免費下載使用，第一時間美亞柏科官方微信、技術服務微信推送。（截至5月15日晚，相關推送閱讀累計超15萬人次，挽回了諸多用戶數據。）

3、5月15日晚間

集中研發力量，正式上線恢復大師「永恆之藍」專修版本應對Winnacry病毒。專修版本在14號版本的基礎上，就用戶使用反饋進行了功能完善。

4、5月17日下午

根據實戰效果，恢復大師"永恆之藍"增強型專修版重磅上線，多方面提高專修版的恢復能力。

5、5月21日凌晨

持續跟進病毒事件，上線恢復大師增強型專修版2.0，提高恢復準確性等。

6、5月22日下午

為了幫助更多客戶掌握「恢復大師」的使用方法，深度找回數據，美亞柏科移動學習平台『美課』特別上線了該軟體的操作視頻，手把手教學軟體操作。

WannaCry病毒背後的美亞柏科數據

• 現場、電話、微信、QQ等技術支持近2000次

• 用戶通過網盤下載恢復大師次數累計近2000次

• 病毒防禦步驟微信宣傳推送閱讀累計10萬人次

• 恢復大師上線及操作步驟閱讀累計15萬人次

• 累計為用戶恢復超億級圖片、文檔。。

勒索病毒肆虐全球，敲響互聯網安全問題警鐘

這次新型病毒襲擊事件再次給全球網路安全敲響了警鐘。網路高度發達的信息時代，網路安全無小事。作為國內電子數據取證行業龍頭企業，網路空間安全專家，美亞柏科秉承著以「為客戶創造價值，為員工創造機會，為股東創造利益，為社會承擔責任」的企業使命，未來將持續跟進病毒最新動態，繼續及時推出有效的應對方案，為打擊網路犯罪貢獻力量。

更多精彩內容，請關注微信公眾號：美亞柏科（ID：meiyapico）