勒索病毒Petrwrap來襲，小鳥雲專家教你如何做好防護

WannaCry病毒事件才剛平息不久，新一輪或更致命的勒索病毒又爆發了。而就在27日晚間，又一波大規模勒索蠕蟲病毒攻擊重新席捲全球，多國政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。

其中受衝擊最為嚴重的當數烏克蘭國內各企業，據報道遭遇影響的包括烏克蘭中央銀行、國家電信、市政地鐵以及位於基輔的鮑里斯波爾機場。另外，烏克蘭電力供應商Ukrenego公司的系統也受到入侵——不過該公司一位發言人表示電力供應並未受到攻擊活動的影響。根據相關報道，包括銷售終端機（即POS機）與ATM在內的各類隔離型設備同樣受到勒索軟體波及。

這款病毒在其它各國同樣處於瘋狂傳播當中。丹麥馬士基航運公司報告稱其多個站點所使用的系統受到影響，其中包括該公司位於俄羅斯的Damco後勤部門。此病毒還入侵了俄羅斯石油企業Rosneft公司的伺服器，但目前尚不清楚所造成的具體損害。在美國方面，已知相關案例——律師事務所DLA Piper的多個美國辦事處受到影響。

61款殺毒軟體當中只有16款能夠成功檢測到該病毒

卡巴斯基實驗室的一位研究人員將此番肆虐的病毒定名為Petrwrap，並確定其屬於該公司於今年3月所發現的Petya勒索軟體的變種之一。通過對6月18日收集到的樣本進行編譯，研究人員發現該病毒在過去一段時間內一直在進行廣泛的設備感染。另外，根據最近的VirusTotal掃描，61款殺毒軟體當中只有16款能夠成功檢測到該病毒。

Petrwrap本身似乎屬於一款非常簡單的勒索軟體，與其它傳統勒索軟體的功能存在很大區別。具體來講，Petwrap並不會逐個對目標系統上的文件進行加密。一旦完成感染，該病毒即會利用一條私鑰對目標計算機進行加密，且在系統解密之前該設備將無法正常使用。Petwrap會重啟受害者的計算機並加密磁碟驅動器內的主文件表（簡稱MFT）並渲染主引導記錄（簡稱MBR），進而通過佔用物理磁碟上的文件名、大小與位置信息以限制用戶對完整系統的正常訪問。其中Petwrap替換的MBR代碼中包含贖金說明。根據最新感染截屏內容來看，該勒索軟體要求用戶支付價值300美元的比特幣以解密自己的系統。

安全提示：如何保護自己免受勒索軟體攻擊

1、由於勒索軟體Petya與之前的WannaCry類似，利用了SMB漏洞（MS17-010）；與WannaCry不同的是，Petya也可以通過Office文檔的形式傳播。利用Office RTF漏洞（CVE-2017-0199 ），當用戶下載並閱讀文檔的過程執行病毒，同時可利用SMB漏洞傳播到同一網路上的其餘機器上。所以，小鳥雲專家提醒大家，請打補丁，請打補丁，請打補丁！

2、關閉SMB服務。小鳥雲安全專家建議使用SMB服務的企業應開啟防火牆，並為需要從外部訪問內部網路網路的用戶設置VPN訪問。企業應詳細羅列網路上的軟體和設備，並提供識別並部署補丁的程序。當攻擊者迅速從補丁轉移到漏洞利用時，這些措施將尤為重要。

3、不要輕易打開未知郵件中的附件和鏈接。為了防止任何勒索軟體感染問題，您還應以謹慎的態度對待一切通過郵件發來的不必要文件與文檔，且除非確認來源正常，否則千萬不要點擊其中的任何鏈接。

4、備份。請始終嚴格保護數據，包括採取良好的備份措施，並將數據複製至不會始終接入您PC的外部存儲設備。再有，請確保在系統之上運行效果良好的反病毒安全套件並保持更新。最重要的是，請始終以安全方式瀏覽互聯網。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！