繼 WannaCry 病毒席捲英國之後, 近日一種名為 Petya 的新型勒索病毒席捲了歐洲。 烏克蘭、俄羅斯等國家的大量政府、銀行、公司的主機均遭受到相關攻擊。 據悉, 新病毒在歐洲的變種傳播速度達到每 10 分鐘感染 5000 餘台電腦。
在此, 網易雲特別提醒還未修復相關安全性漏洞的用戶儘快完成修復工作, 避免遭受不必要的損失。
Petya 的危害:
Petya 和 WannaCry 類似, 都是加密勒索病毒, 傳播方式都是通過 Windows 主機的漏洞進行傳播。 不同之處在於, Petya 啟動後, 會重啟受害者的電腦並加密硬碟驅動器主檔案表格(MFT), 使主引導記錄(MBR)不可操作, 通過佔用物理磁片上的檔案名、大小和位置資訊來限制對完整系統的訪問,
機器重啟後會載入勒索頁面, 使用者無法進行任何操作。 根據勒索病毒中顯示的資訊, 使用者需要向對方支付價值 300 美金的比特幣才能對其解鎖。
漏洞應對建議:
感染前的預防措施:
1. 為系統打補丁
修復永恆之藍 (ms17-010)漏洞。 補丁地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.asx
修復 RTF 漏洞(CVE-2017-0199), 防止利用微軟 Office 和寫字板進行遠端代碼執行。 補丁地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
2. 臨時關閉系統的 WMI 服務和刪除 admin$ 共用, 阻斷蠕蟲的橫向傳播方式。
具體操作為, 右鍵 cmd.exe "以管理員身份運行", 輸入如下命令:
net stop winmgmt
net share admin$ /delete
3. 關閉 445,135,139 埠, 或禁止外網訪問這些埠。
此外, 這裡再提供一份安全專家的 “疫苗”。 據來自 Cybereason 的安全研究人員 Amit Serper 的分析, Petya 會首先搜索名為 perfc 的本地檔, 如果說該名稱檔存在, 則退出加密過程。 也就是說, 用戶只需要在 C:\Windows 資料夾下建立名為 perfc 的文件, 並將其設為 “唯讀” 即可。
感染後的補救措施:
如您已感染該病毒, 請不要交納贖金, 目前駭客使用的郵箱已被關閉,
由於在感染 Petya 的過程中, 病毒會先重啟電腦載入惡意的磁片主引導記錄(MBR)來加密檔, 這中間會啟用一個偽造的載入介面。 中招者如果能感知到重啟異常, 在引導介面啟動系統前關機或拔掉電源, 隨後可以通過設置 U 盤或光碟第一順序啟動 PE 系統, 使用 PE 系統修復 MBR 或者直接轉移硬碟裡的資料, 可以在一定程度上避免檔的損失。
建議加固措施:
Windows 作業系統存在大量安全性漏洞, 提高安全意識養成良好習慣可以一定程度上避免遭受病毒:
1. 微軟對 Windows XP 和 Windows Server 2003 已不再更新, 請使用高版本的 Windows 主機。
2. 開啟 Windows 自動更新。
3. 對任何郵件保持警惕性, 不要輕易運行未知來源的任何附件, 尤其是 rtf、doc 等格式。
4. 重要資料做好日常備份。
有任何問題請隨時與我們聯繫。
以上由網易企業資訊化服務提供者, 湖南領先網路科技整理發佈。
網易企業服務(qiye163.co)是網易憑藉其20年品牌優勢與經驗在企業郵箱的基礎上, 為進一步佈局企業市場而打造的企業級產品矩陣, 致力於提供一站式企業資訊化解決方案。 湖南領先網路科技是網易企業產品授權經銷商, 專業為企業提供網易企業郵箱、網易辦公套件等一站式企業資訊化專業解決方案。 辦理網易企業郵箱及旗下企業產品相關業務, 就找湖南領先網路科技。