Petya勒索病毒安全預警通告

一、安全通告

北京時間2017年6月27日晚，據外媒消息，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國正在遭遇Petya勒索病毒襲擊，政府、銀行、電力係統、通訊係統、企業以及機場都不同程度的受到了影響。

此次黑客使用的是Petya勒索病毒的變種Petwarp，使用的攻擊方式和WannaCry相同，360天擎(企業版)和360安全衛士(個人版)可以查殺該病毒。

據悉，該病毒和勒索軟件很類似，都是遠程鎖定設備，然後索要贖金。據賽門鐵克最新發布的消息顯示此次攻擊時仍然使用了永恒之藍勒索漏洞，還會獲取係統用戶名與密碼進行內網傳播。

二、事件信息

2.1 事件描述

Petya和傳統的勒索軟件不同，不會對電腦中的每個文件都進行加密，而是通過加密硬盤驅動器主文件表(MFT)，使主引導記錄(MBR)不可操作，通過占用物理磁盤上的文件名，大小和位置的信息來限製對完整係統的訪問，從而讓電腦無法啟動。如果想要恢複，需要支付價值相當於300美元的比特幣。

被感染的機器屏幕會顯示如下的告知付贖金的界麵：

2.2 風險等級

360安全監測與響應中心風險評級為：危急

三、處置建議

3.1 安全操作提示

從目前掌握的情況來看：

1. 不要輕易點擊不明附件，尤其是rtf、doc等格式，可以安裝360天擎(企業版)和360安全衛士(個人版)等相關安全產品進行查殺。

2. 及時更新windows係統補丁，具體修複方案請參考“永恒之藍”漏洞修複工具。

3. 內網中存在使用相同賬號、密碼情況的機器請盡快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

3.2 修複工具

360企業安全天擎團隊開發的勒索蠕蟲漏洞修複工具，可根本解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修複工具集成免疫、SMB服務關閉和各係統下MS17-010漏洞檢測與修複於一體。可在離線網絡環境下一鍵式修複係統存在的MS17-010漏洞，工具下載地址：

https://b.360.cn/other/onionwormfix

3.3 緩解措施

關閉TCP 135端口

建議在防火牆上臨時關閉TCP 135端口以抑製病毒傳播行為。

停止服務器的WMI服務

WMI(Windows Management Instrumentation Windows 管理規範)是一項核

心的 Windows 管理技術你可以通過如下方法停止：

在服務頁麵開啟WMI服務。在開始-運行，輸入services.msc，進入服務。

或者，在控製麵板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

在服務頁麵，按W，找到WMI服務，找到後，雙擊，直接點擊停止服務即可，如下圖所示：

本文作者：360安全監測與響應中心

來源：51CTO

最後更新：2017-11-03 16:34:56