新勒索病毒"Petya"疯狂来袭 乌克兰副总理电脑中招

　　据外媒报道，从6月27日开始，一种新勒索病毒再次疯狂来袭，已席卷欧洲多个国家，连乌克兰副总理的电脑都已中招。报道称，这轮病毒足以与五月席卷全球的勒索病毒“WannaCry”的攻击性相提并论。

　　该病毒代号为 “Petya”，已确认有国内用户中招。和上次加密重要文件的勒索方式相比，这次病毒更“凶残”，直接加密磁盘。到底该怎么防护？赶紧看过来吧。

　　乌克兰多家银行面临攻击风险

　　从对媒体报道的梳理情况来看，冲击最大的当属乌克兰。乌克兰副总理表示，他和乌克兰政府的其他成员无法使用电脑。他还称，政府的所有电脑都在播放被攻击的画面。他上传的自己的电脑画面文字显示，“您的其中一个磁盘包含错误，需要修复”，并警告用户不要关闭电脑，否则所有的数据都会丢失。

　　据悉，乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都受到了攻击。乌克兰首都基辅的鲍里斯波尔国际机场也受到了影响，很可能会造成大面积航班延误。受新一轮勒索病毒攻击的影响，乌克兰电厂Kievenergo下令关闭了所有电脑。乌克兰快递和邮政服务企业Nova Poshta表示，该公司的网络遭受到此次黑客攻击后，不得不停止向客户提供服务。与此同时，乌克兰的中央银行也在自己的网站发出警告信息，称该国的多家银行也成为黑客攻击的目标。

　　不仅如此，乌克兰的ATM机也未能幸免。一名网友上传的图片显示，该计算机上的文件已被加密，只有只有支付300英镑的比特币才能恢复。乌克兰内政部部长顾问安东-格拉斯申科(Anton Gerashchenko)通过Facebook称，此次病毒入侵堪称“乌克兰史上最大规模的病毒攻击”。

　　攻击蔓延多个国家 国内有用户中招

　　目前，该病毒攻击已经蔓延到多个国家。国内一家网络安全公司分析判断，除了受影响最严重的乌克兰，包括俄罗斯、西班牙、法国、英国、丹麦、印度、美国等国家也都受到了不同程度影响。

　　莫斯科一家网络安全公司透露，仅俄罗斯和乌克兰两国就有80多家公司被Petya病毒感染。这种病毒锁住了大量的电脑，要求用户支付300美元的加密数字货币才能解锁。许多电信运营商和零售商也遭到了此新病毒的攻击，该病毒传播方式与今年5月爆发的WannaCry病毒非常相似。该新病毒使用了一个伪装的微软数字签名。

　　总部位于伦敦的全球最大广告公司WPP，是英国第一家被爆受到波及的公司，员工们已被告知关闭电脑，并且不要使用公司WiFi。

　　法国制造商圣戈班集团(Saint-Gobain)也声称，该公司系统也被攻击，但公司发言人拒绝透露详情。

　　俄罗斯石油公司Rosneft、丹麦航运巨头AP Moller-Maersk也都遭到了攻击。

　　该勒索病毒代号为 “Petya”。腾讯电脑管家确认，已有国内用户中招，正在对样本进行分析。

　　据网络科技媒体文章分析，由于我国在“WannaCry”应急工作中打下了良好基础，现阶段该病毒尚未在我国大面积传播，但其复合传播手段仍具有较大安全风险。

　　如及时打过补丁，这次不用太害怕

　　西安四叶草信息技术有限公司CTO赵培源、安全研究员余俊峰介绍，国内外多家网络安全公司已确认，该病毒样本通过永恒之蓝漏洞（“WannaCry”也是利用这一漏洞进行攻击）传播。该病毒先是发送钓鱼邮件，邮件附件包含CVE-2017-0199漏洞（这是一个Word漏洞）的攻击代码，使电脑中毒之后，再通过MS17-010（永恒之蓝）漏洞和系统弱口令进行传播。由于“Petya”利用这两个已知漏洞进行传播，如果平时及时安装最新系统补丁，这次就不会受到危害。如未采取任何措施，就有可能导致磁盘被锁，无法开机。

　　不同于传统勒索软件加密文件的行为，“Petya”采用磁盘加密方式进行敲诈。 “一旦中招，电脑会被强制重启。在重启过程中，病毒就会进行动作。刚开始看起来似乎没有异常，病毒一旦安装完成开启计算机时，就会出现勒索界面和信息，导致无法进入系统。”赵培源说。

　　具体咋防范 赶紧看过来

　　那么，究竟该如何防范这轮新的勒索病毒袭击？

　　余俊峰介绍， “Petya”勒索软件影响的是Windows XP及以上版本的操作系统。

　　防止被袭击，首先要注意邮件。Petya首次传播是通过邮件进行的，所以应警惕钓鱼邮件。收到带不明附件的邮件，切勿打开。收到带不明链接的邮件，请勿点击链接。

　　其次，要及时更新操作系统补丁（MS）（https://technet.microsoft.com/en-us/library/security/ms17-010.aspx），更新Microsoft Office/WordPad远程执行代码漏洞（CVE-2017-0199）补丁（https://technet.microsoft.com/zh-cn/office/mt465751.aspx）。

　　第三，禁用WMI服务。操作方法可登录https://zhidao.baidu.com/question/91063891.html学习。

　　第四，更改空口令和弱口令。如操作系统存在空口令或弱口令的情况，请及时将口令更改为高强度的口令。

　　最后，还可以下载免疫工具，一些公司开发的针对WannaCry的免疫工具，此次事件免疫仍然有效。

　　如果已经被感染，该采取什么办法？

　　余俊峰介绍，如无重要文件，建议重新安装系统，更新补丁、禁用WMI服务、使用免疫工具进行免疫。若有重要文件被加密，已开启Windows自动镜像功能的可尝试恢复镜像，或等待后续可能出现的解密工具来帮助解决问题。

　　华商记者 马虎振

编辑：华商报供稿