勒索病毒捲土重來：ATM機都不放過！

最新 06-28

據外媒報道，勒索病毒捲土重來，全新變種版Petya席捲全球，這次連ATM機也不放過。中國國內也出現了病毒傳播跡象。

新勒索病毒Petya全球肆虐！

目前，新勒索病毒Petya已在全球爆發，俄羅斯、烏克蘭兩國約有80多家公司被Petya病毒感染。該病毒鎖住大量的電腦，要求用戶支付300美元的加密數字貨幣才能解鎖。

莫斯科的網路安全公司Group-IB透露，許多電信運營商和零售商也遭到了Petya的攻擊，該病毒傳播方式與WannaCry病毒非常相似。

英國媒體公司WPP的網站在周二遭到攻擊，該公司員工已被告知關閉電腦，且不得使用無線連接。

有消息人士稱，位於倫敦Sea Containers地區的辦公樓都已關閉，該區域為WPP、奧美國際（Ogilvy & Mather）等全球知名廣告代理機構的總部所在地。WPP旗下若干家子公司的IT系統也受到了影響。

全球最大航運企業馬士基集團（A.P.Moller-Maersk）在聲明中表示，該公司的客戶目前已無法使用在線預訂工具，且公司的內部系統也已關閉。馬士基集團發言人表示，此次網路攻擊影響到公司的多個網站和部門，包括港口運營、石油和天然氣生產等部門。

美國製藥業巨擘Merck藥廠也證實中標，成為第一家受害的美國公司，顯示病毒已越過大西洋侵入美國。

烏克蘭副總理羅岑科?帕夫洛稱職表示，他和烏克蘭政府的其他成員無法使用電腦。他還稱，政府的所有電腦都在播放這一被攻擊的畫面。畫面顯示，「磁碟包含錯誤並需要準備」，並要求用戶不要關閉它。

甚至，烏克蘭的ATM機也被拖下了水。

丹麥海運公司AP Moller-Maersk表示：「我們所有事業部門的信息科技系統大都因為病毒停擺。我們還在持續評估情況。我們的最高優先是維護營運安全。」

Petya勒索病毒是什麼？

Petya勒索病毒通過永恆之藍傳播，並被判定為高度風險。該病毒會加密磁碟主引導記錄（MBR），導致系統被鎖死無法正常啟動，然後在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會進一步加密文檔、視頻等磁碟文件。它的勒索金額與此前Wannacry病毒完全一致，均為摺合300美元的比特幣。根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款，其「吸金」速度完全超越了Wannacry。

根據分析結果，病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在445等埠使用SMB協議進行連接。

深入分析發現，病毒連接時使用的是「永恆之藍」（EternalBlue）漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用，是造成WannaCry全球快速爆發的重要原因之一，此次Petya勒索病毒也藉助此漏洞達到了快速傳播的目的。

同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

電腦重啟後，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。

當加密完成後，病毒才露出真正的嘴臉，要求受害者支付價值300美元的比特幣之後，才會回復解密密鑰。

這個加密流程與2016年起出現的Petya勒索病毒的流程相似，twitter上也有安全人員確認了二者的相似關係。但是不同的是，之前的Petya病毒要求訪問暗網地址獲取解密密鑰，而此次爆發的病毒直接留下了一個Email郵箱作為聯繫方式。

電腦這樣設置可以防中招

1.不要輕易點擊不明附件，尤其是rtf、doc等格式。

2.及時更新Windows系統補丁，具體修復方案請參考「永恆之藍」漏洞修復工具。

3.內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

4.關閉TCP 135埠

建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。

5.停止伺服器的WMI服務

WMI（Windows Management Instrumentation Windows 管理規範）是一項核心的 Windows 管理技術你可以通過如下方法停止：在服務頁面開啟WMI服務。在開始-運行，輸入services.msc，進入服務。或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

在服務頁面，按W，找到WMI服務，找到後，雙擊，直接點擊停止服務即可，如下圖所示：