新勒索病毒Petya如何破

烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國正在遭遇Petya勒索病毒襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。

烏克蘭內政部官員Anton Gerashchenko在Facebook上寫道，該入侵是“烏克蘭歷史上最大的`一次”，其目標是“動搖不穩定的經濟形勢和公民意識”，儘管它被“偽裝成勒索企圖”。據爆料，其中烏克蘭副總理的電腦亦遭受攻擊。

根據研究發現，攻擊事件中的病毒屬於 Petya勒索者的變種 Petwrap，可能的傳播渠道是：病毒使用 Microsoft Office/WordPad(RTF)遠程執行代碼漏洞(CVE -2017-0199)通過電子郵件進行傳播，感染成功後利用“永恆之藍”漏洞(MS17-010)，在內網中尋找打開 445 端口的主機進行傳播。

中毒後，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟後，會顯示一個偽裝的界面，界面上謊稱正在進行磁盤掃描，實際上正在對磁盤數據進行加密操作。

當加密完成後，病毒要求受害者支付價值300美元的比特幣之後，才會回覆解密密鑰。

　　Petya病毒感染文件後綴列表：

.3ds .7z b .c .h .ppt.pptx .rtf

從病毒樣本中也可以看到攻擊者郵件、Bitcoin地址、支付金額提示、感染文件類型等：

　　防護策略建議：

1. 不要輕易點擊附件，尤其是.rtf、等格式文件。

2. 更新Windows操作系統補丁

3. 更新 Microsoft Office/WordPad(RTF)遠程執行代碼漏洞(CVE -2017-0199)補丁

4. 啟用windows防火牆，關閉137、139、445等相關端口;

5. 使用HanSight Enterprise和HanSight NTA監控網絡流量和主機行為，及時對告警排查處理。