返回目录:office365
6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。
通过对本次事件跟踪分析发现,攻击事件中的病毒属于 Petya勒索者的变种 Petwrap,使用的攻击方式和WannaCry相同,病毒使用 Microsoft Office/WordPad 远程执行代码漏洞(CVE -2017-0199)通过电子邮件进行传播,感染成功后利用永恒之蓝漏洞,在内网中寻找打开 445 端口的主机进行传播。
影响操作系统
“必加"(Petya)勒索软件影响操作系统:Windows XP及以上版本;
被感染的机器屏幕会显示如下的告知付赎金的界面:
建议防护策略
1、更改空口令和弱口令
如操作系统存在空口令和弱口令的情况,请及时将口令更改为高强度的口令。存在安全隐患的未开机电脑请先断开网络,确认口令修改完毕、补丁安装完成后再进行联网操作。
2、更新操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17 -010.aspx
3、更新 Microsoft Office/WordPad 远程执行代码漏洞(CVE -2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
4、禁用 WMI服务
https://zhidao.baidu.com/question/91063891.html
5、邮件防范
由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件(尤其是rtf、doc等格式)的邮件,请勿打开;收到带不明链接的邮件,请勿点击邮件。
6、免疫工具
下载腾讯、360、安天等安全厂商发布的免疫工具进行检测和查杀。
如已被感染:
1、如无重要文件,建议重新安装操作系统,更新补丁、禁用WIMI服务、使用免疫工具进行免疫。
2、有重要文件被加密,如已开启Windows自动镜像功能,可尝试恢复镜像;或等待后续可能出现解密工具。