先說一句，我覺得不算是廣告，目前國內也出現了病毒傳播跡象，360安全衛士可全面防禦此病毒，確保使用者的系統和資料安全。

下面說正題。

與5月爆發的勒索病毒“Wannacry”相比，“Petya”勒索病毒變種的傳播速度要更快。公司同事發來的資料來看，在歐洲重災區，新病毒變種的傳播速度達到每10分鐘感染5000餘臺電腦，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。

“Petya”勒索病毒除了使用了NSA“永恆之藍”等駭客武器攻擊系統漏洞外，還會利用“管理員共享”功能在內網自動滲透。所以有些機構企業，不要覺得內網隔離就是安全的，不一定。

“Petya”勒索病毒的背景，我們的首席安全工程師鄭文彬在之前的介紹裡說過了，Petya勒索病毒最早出現在2016年初，以前主要利用電子郵件傳播。最新爆發的類似Petya的病毒變種，主要攻擊途徑是內網滲透，也就是利用“管理員共享”功能攻擊內網其他機器，相比已經被廣泛重視的“永恆之藍”漏洞更具殺傷力。還具備了全自動化的攻擊能力，即使電腦打齊補丁，也可能被內網其他機器滲透感染，使用者可使用360安全衛士的“系統防黑加固”功能，一鍵檢測關閉“管理員共享”等風險專案，保護企業和機構內網使用者預防病毒。

“Petya”勒索病毒會加密磁碟主引導記錄（MBR），導致系統被鎖死無法正常啟動，然後在電腦螢幕上顯示勒索提示。如果未能成功破壞MBR，病毒會進一步加密文件、影片等磁碟檔案。它的勒索金額與此前Wannacry病毒完全一致，摺合成美元的話，大概是300美元的比特幣。

根據比特幣交易市場的公開資料顯示，病毒爆發最初一小時就有10筆贖金付款，其“吸金”速度完全超越了Wannacry。但是我還是要提醒大家，交了贖金也未必就能恢復系統。反而會更加刺激其他不法分子以後會進一步利用這種方式來犯罪。現在來看，勒索病毒已經成為一些駭客的“商業模式”了。

另外，由於病毒作者的勒索郵箱已經被封，現在交贖金也是沒辦法恢復系統的。

360安全衛士技術團隊正在緊急研發恢復工具，將為國內外勒索病毒新變種的受害者提供救援服務。

最後，360安全衛士無需更新就可以全面攔截Petya等各類勒索病毒及變種。基於對產品防護能力的信心，360在全球範圍內獨家推出“反勒索服務”，承諾如果防不住病毒，360負責賠贖金，給使用者提供免費保險。

以下

可能是最全、最小白應對這一輪勒索病毒的指南

經確認，該病毒名為 Petya（後被卡巴斯基反轉，認為應叫“ExPetr”），釆用（CVE-2017-0199)RTF漏洞進行釣魚攻擊，用（MS17-010)SMB漏洞進行內網傳播，都有補丁。䃼丁地址如下，

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

安全操作提示

從目前掌握的情況來看：

及時更新windows系統補丁，具體修復方案請參考“永恆之藍”漏洞修復工具。

內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

360企業安全天擎團隊開發的勒索蠕蟲漏洞修復工具，可解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復工具整合免疫、SMB服務關閉和各系統下MS17-010漏洞檢測與修復於一體。可在離線網路環境下一鍵式修復系統存在的MS17-010漏洞，工具下載地址：http://b.360.cn/other/onionwormfix

緩解措施

關閉TCP 135埠

建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。

停止伺服器的WMI服務

WMI（Windows Management Instrumentation Windows 管理規範）是一項核心的 Windows 管理技術 你可以透過如下方法停止 ：在服務頁面開啟WMI服務。在開始-執行，輸入services.msc，進入服務。或者，在控制面板，檢視方式選擇大圖示，選擇管理工具，在管理工具中雙擊服務。

2.阿里雲

目前勒索者使用的郵箱已經被關停，不建議支付贖金。

所有在IDC託管或自建機房有伺服器的企業，如果採用了Windows作業系統，立即安裝微軟補丁。

對大型企業或組織機構，面對成百上千臺機器，最好還是使用專業客戶端進行集中管理。比如，阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。

可靠的資料備份可以將勒索軟體帶來的損失最小化。建議啟用阿里雲快照功能對資料進行備份，並同時做好安全防護，避免被感染和損壞。

3.騰訊電腦管家＋騰訊雲鼎實驗室

騰訊電腦管家已緊急響應，並已經確認病毒樣本透過永恆之藍漏洞傳播，開啟騰訊電腦管家可以防禦petya勒索病毒，還可全面防禦所有已知的變種和其他勒索病毒；此外，漏洞檢測能力也得到升級，加入了NSA武器庫的防禦，可以抵禦絕大部分NSA武器庫洩漏的漏洞的攻擊。

騰訊雲鼎實驗室：可以採用以下方案進行防護和查殺——

騰訊雲使用者請確保安裝和開啟雲鏡主機保護系統，雲鏡可對海量主機集中管理，進行補丁修復，病毒監測。

更新EternalBlue&CVE-2017-0199對應漏洞補丁

補丁下載地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

終端使用者使用電腦管家進行查殺和防護

電腦管家已支援對EternalBlue的免疫和補丁修復，也支援對該病毒的查殺，可以直接開啟電腦管家進行防護和查殺。

4.安天

影響作業系統：“必加”（Petya）勒索軟體影響作業系統：Windows XP及以上版本；

如未被感染

❶ 郵件防範

❷ 更新作業系統補丁（MS）

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

❸ 更新Microsoft Office/WordPad遠端執行程式碼漏洞（CVE-2017-0199）補丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

❹ 禁用WMI服務

禁用操作方法：https://zhidao.baidu.com/question/91063891.html

❺ 更改空口令和弱口令

如作業系統存在空口令或弱口令的情況，請及時將口令更改為高強度的口令。

❻ 免疫工具

安天開發的“魔窟”（WannaCry）免疫工具，針對此次事件免疫仍然有效。

下載地址：http://www.antiy.com/tools.html

如已被感染

➀ 如無重要檔案，建議重新安裝系統，更新補丁、禁用WMI服務、使用免疫工具進行免疫。

➁ 有重要檔案被加密，如已開啟Windows自動映象功能，可嘗試恢復映象；或等待後續可能出現解密工具。

你們為什麼要把駭客逼上絕路！為什麼不給予他們充足的水和食物！

一個厲害的零日漏洞對於他們來說，就像是親手帶大的女兒一樣！現在為了生存，連親女兒都要拉出去一家一戶的乞討，才能繼續生存下去！多好的一個漏洞啊，本來可以嫁個有權有勢的好人家的，結果白白送給我們糟蹋了，還讓我們滿意才付款！

倡議建立一個基金會，給這些駭客提供生活所必需的金錢，讓他們不用再做勒索的事情。這樣那些原來就怕自己會被勒索的人，省掉了電腦資料掛了的麻煩，直接給駭客支付贍養費！

所有想要領取費用的人，需要經過駭客段位資格認證，經過殘酷的層層選拔才能獲得這一資格。所以我們可以順手把參賽考核的漏洞修了。

每年再來個駭客大賽，加入奧林匹克專案，讓駭客們生活在Sunny下，享受明星的待遇！

搞個《奔跑吧駭客》，讓他們互相拔對方電腦的電源。

人類不需要互相傷害嘛，對吧

更新：

駭客郵箱被封了，這下收不到勒索金了。

駭客討飯，你們還把他碗砸了…哎呀我的心好痛，好殘忍好殘忍。

言歸正傳，專業的問題，奇虎360董事長也粗略的回答了，專業的有專業回答，我就來點不專業的吧。

從上次“勒索”病毒爆發以後，我就一直在想，為何每次有病毒發生，那些“防毒”軟體，總是第一時間站出來表示，病毒是“可防”“可控”，早幹嘛去了！就不能早一點做些預防，提供補丁，讓人做好防範？不可否認誰都不知道，那些駭客什麼時候出來搞事的不確定因素。但問題又來了，這些“駭客”就不會搞些，讓“防毒”軟體束手無策的病毒，最起碼不讓他們這麼快就找到解決的方法。

誰都知道叫的上“駭客”的，就一定是高高智商的人，根本就不缺錢，難道除了刷榮譽感 存在感以外，還有什麼其他意思？這就是我百思不得解的。算了，解不了就不想它，

再說說這個病毒的擴散，是從電子郵件開始，我的天！我隔壁王大媽都知道，不知道來源和不熟悉的郵件和網址，不要隨便開啟，何況是政府部門，政要？危言聳聽一句，正如報道說某國的副總理的個人電腦也中招了，天啊！國家領導人啊！他手中掌握的東西………我真的不敢想下去！

值得慶幸的是，我們國家在這方面宣傳防範還是很到位，但還是想說一句，那些研發“防毒”軟體的單位和大神們，能否未雨綢繆將工作做在事故發生之前，別讓我們這些小市民再擔驚受怕了，行嗎！

6月27日，一種類似於“WannaCry”的新型勒索病毒席捲了歐洲，烏克蘭境內地鐵、電力公司、電信公司、切爾諾貝利核電站、銀行系統等多個國家設施均遭感染導致運轉異常。該病毒代號為“Petya”，騰訊電腦管家溯源追蹤到中國區最早攻擊發生在2017年6月27號早上，透過郵箱附件傳播。另據烏克蘭CERT官方訊息稱，郵箱附件被確認是該次病毒攻擊的傳播源頭。

目前，騰訊電腦管家表述，已可全面防禦Petya勒索病毒，安裝電腦管家的使用者只需升級或下載最新版騰訊電腦管家即可抵禦Petya等勒索病毒的侵襲。

阿里雲安全團隊表示，所有在IDC託管或自建機房有伺服器的企業，如果採用了Windows作業系統，立即安裝微軟補丁。安全補丁對個人使用者來說相對簡單。只需自學裝載，就能完成。對大型企業或組織機構，面對成百上千臺機器，最好還是能使用客戶端進行集中管理。比如，阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。可靠的資料備份可以將勒索軟體帶來的損失最小化。建議啟用阿里雲快照功能對資料映象備份，並同時做好安全防護，避免被感染和損壞。

網際網路安全專家認為，面對這種局面，與其誇大病毒本身的能力和威脅，不如認真思考安全基礎工作的是否紮實。其應對不能更多立足於災難響應、資料恢復甚至是破解解密，而必須立足於儘可能的防患於未然，最大程度將易被攻陷的節點減到最小。

不過網際網路安全專家也表示，中國使用者面對這次的病毒衝擊影響將會較小，國內大部分安全軟體能夠全面攔截Petya等各類勒索病毒及變種，其中360方面基於對產品防護能力的信心，更在全球範圍內獨家推出“反勒索服務”，承諾如果防不住病毒，360負責賠贖金，給使用者提供免費保險。

如題，Petya電腦勒索病毒席捲歐洲，入侵了哪些國家，哪些機構，這裡就不重複了，這次很罕見的沒有在中國爆發，可能跟安全牆有關吧。。

跟5月轟動一時的WannaCry病毒類似，Petya也影響區域網內的一群電腦，加密檔案後要求比特幣支付贖金，同樣可以透過永恆之藍漏洞進行傳播。

但是，Petya明顯變得更加聰明與狡猾，知道在WannaCry病毒之後，很多人都打好了補丁，於是還找到了新的感染途徑，利用“管理員共享”功能進行內容的擴散。

並且還使用用爛了的釣魚郵件，反正有一個傻逼運行了郵件裡的病毒，整個區域網就遭殃了。

烏克蘭CERT官方稱，釣魚郵件是該次病毒攻擊的傳播源頭。

Petya爆發之後，騰訊電腦管家和360安全衛士又出來刷屏了。

大概意思是，只要你裝了騰訊電腦管家，就不怕被感染了。

360也不示弱，表示360能主動攔截病毒，使用者零感染，裝了360安全衛士，啥都不怕了。

既然都這麼牛逼，我倒是覺得早點走出國門，走向世界吧，去保護烏克蘭，俄羅斯，荷蘭等國家，這比窩裡鬥強的多。

那麼對於我等吃瓜群眾，怎麼去預防病毒呢？其實都老生常談的方法了。

1、首先電腦還是需要一個強悍點的安全衛士，360和騰訊電腦管家雖然都有點流氓，但是在易用性和防毒能力上，還是相當有實力的，當然了要用其他的也可以。

2、官方公佈的漏洞補丁，該打的還是要打，雖然有時候補丁的內容看上去無關緊要，但是在駭客眼裡，就是致命的弱點。

3、收住自己那顆好奇心，還有慾望心，領紅包，送禮品，送種子等天上掉餡餅的郵件，連結一律忽略掉，千萬別點。。。

4、勒索病毒的噁心之處在於加密你重要的檔案，想要安全的破解是不可能的，即便你交了贖金也不一定能解決問題，所以，重要的檔案要經常備份，有備無患嘛。。就算被勒索了，檔案還在，大不了重灌系統嘛。

5、當然了，駭客是防不勝防的，安全軟體再牛逼，也不過是亡羊補牢的馬後炮，所以還是要行善積德，老天會保佑好人的。

最後想說那些勒索病毒的開發者，真是可憐又可恨，掌握了牛逼的技術，卻靠它來要飯，還被施捨的人詛咒不得好死。。。

覺得沒什麼好看待的，防禦不做好，被病毒攻擊這是很理所當然的事情

而且這個新聞出來不也相應的出來解決辦法，我們普通人按照預防就可以了

騰訊電腦管家已發出宣告並已經確認病毒樣本透過永恆之藍漏洞傳播

開啟騰訊電腦管家不僅可以防禦petya勒索病毒，還可全面防禦所有已知的變種和其他勒索病毒

此外，漏洞檢測能力也得到升級，加入了NSA武器庫的防禦，可以抵禦絕大部分NSA武器庫洩漏的漏洞的攻擊。

或者對安全軟體不信任的也可以採取下面辦法

首先，不要輕易點選email中的不明附件，尤其是rtf、doc等格式其次，及時更新windows系統補丁，具體修復方案請參考此前釋出的“永恆之藍”漏洞修復工具。再有，如果內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。即使有企業終端感染了Petya勒索病毒，也可透過下面的方法進行緩解：1、關閉TCP 135埠建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。2、停止伺服器的WMI服務WMI（Windows Management Instrumentation Windows 管理規範）是一項核心的 Windows 管理技術，使用者可以透過如下方法停止：在服務頁面開啟WMI服務。在開始-執行，輸入services.msc，進入服務。或者，在控制面板，檢視方式選擇大圖示，選擇管理工具，在管理工具中雙擊服務。停止伺服器的WMI服務在服務頁面，按W，找到WMI服務，找到後雙擊，直接點選停止服務即可，如上圖所示。

由於網路攻擊都是尋求的軟體的漏洞進行病毒植入，無論對於企業還是個人而言，除了更新最新版本的系統，從而避免受就係統漏洞侵襲之外，幾乎無能為力。

比如這次的網路攻擊就是利用了軟體升級時的漏洞，在下載過程中植入了病毒。大多數網路安全專家相信此次病毒是Petya勒索病毒的最新變種，和Wannacry一樣，也是透過美國NSA發現的Windows漏洞深藍進行攻擊，從而蔓延到整個全球網路。

不過和Wannacry能夠隨機選擇網際網路的受侵者不同，Petya儘管也能從一個計算機蔓延到另一個計算機，不過不具備隨機性，這也讓它的影響範圍受到限制。

而對於那些早些時候已經及時下載了微軟最新版本安全補丁，並且關閉Windows檔案共享功能的的企業來說，大部分都沒有受到侵害。

因此，在網路如此發達的今天，我們得到的警示是，網際網路架構和安全性仍然沒有保證，在協議和傳輸媒介上有漏洞，也暴露了私有的作業系統的風險。駭客作案的隱秘性提高了，而防禦的手段是公開的，資訊可見度的不對等為監管造成困惑。

近日，歐洲多個國家遭受Petya勒索病毒的攻擊，這是近期全球範圍內第二波大規模的勒索病毒爆發。該病毒遠端加密電腦的磁碟，然後索要贖金。目前，烏克蘭、法國、英國、俄羅斯等國都遭受該勒索病毒的攻擊。

1.從病毒樣本直觀比較上看

WanaCry是一個3.4MB左右的.exe檔案，而Petya為一個大小僅為353.9KB的.dll檔案。這意味著Petya不能直接啟動，必須透過其他程式呼叫。這和一些報道中指出的烏克蘭專家稱Petya病毒是透過電子郵件侵入電腦系統，郵件含有遭到病毒感染的Word和PDF格式附件相一致。這也提醒我們不要隨便開啟電子郵件中的可疑附件。

2. 從加密技術上看，Petya與WannaCry勒索軟體顯著不同

WanaCry獲取所有檔案的路徑，然後逐個檔案進行加密，再生成新檔案同時刪除舊檔案，從而進行勒索。Petya的敲詐資訊顯示其加密了整個磁碟，但這只是Peyta開發者使得障眼法。

WannaCry勒索病毒會對磁碟上的大量檔案進行加密儲存並刪除原檔案，那麼我們就可以單從NtCreateFile、DeleteFile 、MoveFileWithProgress這三項API呼叫的數量的上來判斷樣本是否存在類似惡意行為。例如，WannaCry在沙箱中指定2分鐘執行期間總共被記錄了150079次API呼叫，其中NtCreateFile佔了7.0%，DeleteFile佔了4.8%。

Petya的行為方式則不一樣，老Petya樣本加密硬碟驅動器主檔案表（MFT），使主引導記錄（MBR）不可操作，透過讓電腦無法啟動實現勒索，磁碟中儲存的檔案並沒有真正被加密。而新Petya 寫入自己的MBR，設定計劃任務進行重啟，並利用永恆之藍漏洞進行傳播。

從上圖可以發現，Petya樣本使用NtCreateFile打開了在磁碟，然後使用SetFilePointEx設定了當前寫入位置即檔案指標的偏移量，接著用NtWriteFile開始寫入其自定義的MBR。從寫入的buffer內容來看，在這裡Petya寫入了假CHKDSK的資訊以及勒索資訊。當系統重啟後，執行病毒的MBR，偽裝成CHKDSK進行修復磁碟，這一步的時候其實磁碟上的檔案並未完全被加密。

3. 具有反沙箱檢測

作為反沙箱的手段，惡意樣本對VirtualBox的檔案以及裝置進行了檢測。逃避沙箱檢測是惡意件或病毒的一個顯著特點。

4. 強制設定計劃任務進行重啟

透過命令列，呼叫系統的schtasks來設定計劃任務，在1個小時51分後重啟計算機。Shutdown的-f 是強制執行要關閉的應用程式，-r 是關閉之後重新啟動，-t則設定關機倒計時。而正常軟體一般是經使用者確認後重啟。

6. 固定字串分析

我們對Petya做了固定字串分析，分析顯示其包含了一些極度具有勒索性質的文字內容，如“your important files are encrypted”，“All you need to do is submit the payment and purchase the decryption key”,”Send $300 worth of Bitcoin to following address”等。透過檢測這些敏感的字串，可以快速發現和識別類似的勒索軟體。

7. 網路行為分析

為了感染其他電腦，Petya根據本機的IP地址及所在子網，透過ARP協議查詢區域網內主機。

和WannaCry類似，Petya利用了之前WannaCry利用的永恆之藍（MS17-010）漏洞，透過445埠進行傳播。下圖顯示了感染Petya病毒的電腦訪問響應ARP主機的445埠(SMB)。

病毒嘗試連線無響應的IP地址及埠。如上文中網路分析所示，樣本嘗試訪問了192.168.56.1的445埠，而該埠並無響應，說明樣本存在埠掃描行為。

是否付費就可以恢復檔案？

根據報道，目前為止，超過40名受害者向Petya的作者支付了超過1萬美元的贖金，但其實他們無法恢復檔案。有分析說，Petya可能沒有想象中的那麼簡單，很可能是用於政治目的的網路武器。

安全措施

1. 升級系統補丁到最新，修復永恆之藍(ms17-010）漏洞。

2. 及時更新終端防毒軟體。

3. 對於未知郵件中的連結或附件不要開啟，

4. 不要隨意從網路下載可執行程式並直接執行。

5. 在非業務所需的機器上，可以禁止WMI服務和遠端檔案共享功能。

6. 透過專業的磁碟管理軟體，如RestoreMBR提前備份磁碟的主引導記錄MBR檔案，使用者如果發現系統異常重啟，可以立即關機，隨後開機在BIOS裡設定隨身碟或光碟啟動系統，然後使用Windows PE啟動系統，再使用專用的磁碟管理軟體恢復之前備份的MBR檔案。如果之前沒有備份MBR檔案，則可以用該方法複製出硬盤裡的資料，可以避免檔案的損失。

總的來說還是防禦不到位吧，在這裡我說的不是電腦系統的防禦，而是資料檔案的防護，企業被勒索病毒攻擊後，之所以會擔心害怕，主要還是因為電腦中的檔案資訊被惡意加密了。現在市面上的解決方法主要還是兩種：一是資料備份，在遭到病毒之後可恢復歷史檔案，卻只能挽回少量損失；二是防毒軟體，可發現惡意攻擊，但是並不能發現變種勒索病毒。這兩種解決方案雖然都能挽回一定損失，卻並不能真正防止勒索病毒對檔案的破壞。

想要真正預防勒索病毒對檔案的破壞，現在億賽通的“勒索病毒防護衛士”可以做到，這個軟體就是真正從源頭徹底防止資料檔案被病毒加密。經過專業測試，可主動抵禦各種勒索病毒對企業核心檔案的攻擊加密。軟體採用可信程序、程序簽名等技術，透過對程序進行智慧識別，防止各種勒索病毒軟體對使用者文件進行惡意加密，從而有效保護資料資產安全。