新勒索病毒petya袭击多国（附防范方法）

来源中国军网

6月27日晚间时候（欧洲时间6月27日下午时分），新一轮的勒索病毒变种（本次名为Petya）再一次袭击并导致欧洲多国的多个组织、多家企业的电脑操作系统出现瘫痪。通过目前新闻判断乌克兰似乎是“Petya”受打击最严重的国家之一。 该国政府，一些国内银行和最大的电力公司回应表示，他们正在处理来自Petya感染的后果。

一、目前受影响情况：

丹麦运输和能源公司马士基在其网站上的一份声明中表示，由于网络攻击，我们可以确认马士基IT系统在多个站点和业务部门下降。但并未直接认定为Petya病毒攻击。

俄罗斯能源巨头Rosneft在Twitter上表示，正面临着“强大的黑客攻击”。但是两家公司都没有交付赎金。

乌克兰国有银行oschadbank的ATM机照片。

欧洲超市被petya攻击图片。

欧洲超市petya攻击图片。

美国跨国律师事务所DLA Piper

英国广告公司WPP

宾夕法尼亚医院手术被迫停止。

二、样本MD5

目前捕获样本MD5：

71b6a493388e7d0b40c83ce903bc6b04

e285b6ce047015943e685e6638bd837e

三、传播机制和危害

在汇集了多方威胁情报后，样本间直接关系仍不明确的情况下，经过对部分关键样本文件的跟进分析发现，这次攻击是勒索病毒“必加”（Petya）的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式，之后通过MS17-010（永恒之蓝）漏洞和系统弱口令进行传播。

同时初步分析Petya捆绑了一个名为“LSADump”的工具，可以从Windows计算机和网络上的域控制器收集密码和凭证数据。

因此其对内网总体上比此前受到广泛关注的“魔窟”（WannaCry）有更大的威胁，而多种传播手段组合的模式必将成为勒索软件传播的常态模式。

新变异病毒（Petya）不仅只对文件进行加密，而且直接将整个硬盘加密、锁死，在出现以下界面并瘫痪后，其同时自动向局域网内部的其它服务器及终端进行传播。

初步研究表明Petya对以下文件将会进行加密：

Petya希望受害者通过Tor网络支付300美金赎金来解锁相关被加密文件，但目前大量证据表明即使支付赎金也无法进行解密文件。

Petya加密文件后的运行界面：

Petya传播机制：该样本会释放出名为dllhost.dat的文件，该文件是微软Sysinternals工具集中的PsExec程序。该程序可用于在远程机器上执行命令。控制端和被控制端的数据传输都是通过445(Windows 2000)/135或139端口进行(非Windows 2000)。

四、防范方法

1、 邮件防范

由于此次“必加”（Petya）勒索软件变种首次传播通过邮件传播，所以应警惕钓鱼邮件。建议收到带不明附件的邮件，请勿打开；收到带不明链接的邮件，请勿点击链接。

2、更新操作系统补丁（MS）

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

3、更新Microsoft Office/WordPad远程执行代码漏洞（CVE-2017-0199）补丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

4、 禁用WMI服务

禁用操作方法：
https://zhidao.baidu.com/question/91063891.html

5、关闭IPC共享以及防止采用空口令和弱口令

关闭IPC共享和及时加强操作系统口令。