一、安全通告

北京時間2017年6月27日晚，據(jù)外媒消息，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國正在遭遇Petya勒索病毒襲擊，政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機場都不同程度的受到了影響。

此次黑客使用的是Petya勒索病毒的變種Petwarp，使用的攻擊方式和WannaCry相同，360天擎(企業(yè)版)和360安全衛(wèi)士(個人版)可以查殺該病毒。

據(jù)悉，該病毒和勒索軟件很類似，都是遠程鎖定設(shè)備，然后索要贖金。據(jù)賽門鐵克最新發(fā)布的消息顯示此次攻擊時仍然使用了永恒之藍勒索漏洞，還會獲取系統(tǒng)用戶名與密碼進行內(nèi)網(wǎng)傳播。

二、事件信息

2.1 事件描述

Petya和傳統(tǒng)的勒索軟件不同，不會對電腦中的每個文件都進行加密，而是通過加密硬盤驅(qū)動器主文件表(MFT)，使主引導(dǎo)記錄(MBR)不可操作，通過占用物理磁盤上的文件名，大小和位置的信息來限制對完整系統(tǒng)的訪問，從而讓電腦無法啟動。如果想要恢復(fù)，需要支付價值相當于300美元的比特幣。

被感染的機器屏幕會顯示如下的告知付贖金的界面：

2.2 風險等級

360安全監(jiān)測與響應(yīng)中心風險評級為：危急

 三、處置建議

3.1 安全操作提示

從目前掌握的情況來看：

1. 不要輕易點擊不明附件，尤其是rtf、doc等格式，可以安裝360天擎(企業(yè)版)和360安全衛(wèi)士(個人版)等相關(guān)安全產(chǎn)品進行查殺。

2. 及時更新windows系統(tǒng)補丁，具體修復(fù)方案請參考“永恒之藍”漏洞修復(fù)工具。

3. 內(nèi)網(wǎng)中存在使用相同賬號、密碼情況的機器請盡快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成后再進行聯(lián)網(wǎng)操作。

3.2 修復(fù)工具

360企業(yè)安全天擎團隊開發(fā)的勒索蠕蟲漏洞修復(fù)工具，可根本解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復(fù)工具集成免疫、SMB服務(wù)關(guān)閉和各系統(tǒng)下MS17-010漏洞檢測與修復(fù)于一體?？稍陔x線網(wǎng)絡(luò)環(huán)境下一鍵式修復(fù)系統(tǒng)存在的MS17-010漏洞，工具下載地址：

http://b.#/other/onionwormfix

3.3 緩解措施

關(guān)閉TCP 135端口

建議在防火墻上臨時關(guān)閉TCP 135端口以抑制病毒傳播行為。

停止服務(wù)器的WMI服務(wù)

WMI(Windows Management Instrumentation Windows 管理規(guī)范)是一項核

心的 Windows 管理技術(shù)你可以通過如下方法停止：

在服務(wù)頁面開啟WMI服務(wù)。在開始-運行，輸入services.msc，進入服務(wù)。

或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務(wù)。

在服務(wù)頁面，按W，找到WMI服務(wù)，找到后，雙擊，直接點擊停止服務(wù)即可，如下圖所示：