新型“勒索病毒”再袭！多国遭网络攻击！ATM机都不放过

　　27号，包括乌克兰在内的多个欧洲国家遭遇新一拨的大范围电脑病毒攻击，多地出现电脑故障和互联网中断。有报道称，这种新病毒的威力足以和5月份席卷全球的勒索病毒相提并论。 在这次病毒攻击中，乌克兰首当其冲，受到的攻击最为严重， 甚至，乌克兰的ATM机也被拖下了水。

　　新型勒索病毒Petya肆虐 多国中招

　　据报道，乌克兰部分政府机构和多家重要企业的电脑当天都遭到了病毒攻击，导致电脑死机和网络瘫痪，使得这些机构无法正常工作，多家国有和私人银行被迫提前关门。此外，基辅国际机场、乌克兰国家能源公司、邮政公司等大型企业以及部分媒体和移动电话运营商的电脑当天也未能幸免。

　　

　　△乌克兰的ATM机也被拖下了水。

　　而除了乌克兰之外，英国、法国、丹麦、西班牙、挪威以及俄罗斯等欧洲国家的电脑用户也报告遭到了这一病毒的攻击。

　　

　　多家反病毒机构的专家透露说，初步调查表明，此次攻击来自于一种新型病毒，这种病毒在感染电脑硬盘之后，会对电脑进行加密，使其无法使用，用户若想获得解密，须向其指定的电子钱包支付价值300美元的比特币。这种攻击手法十分类似于曾在上个月肆虐全球的勒索病毒，不过看起来比当时的勒索病毒更加专业、也更难以对付。

　　

　　今年5月，勒索病毒感染了全球150多个国家的大约30万台电脑，病毒会对电脑内的文件进行加密，并向用户勒索一定的比特币作为赎金。

　　Petya勒索病毒是什么？

　　Petya勒索病毒通过永恒之蓝传播，并被判定为高度风险。该病毒会加密磁盘主引导记录（MBR），导致系统被锁死无法正常启动，然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR，病毒会进一步加密文档、视频等磁盘文件。它的勒索金额与此前Wannacry病毒完全一致，均为折合300美元的比特币。根据比特币交易市场的公开数据显示，病毒爆发最初一小时就有10笔赎金付款，其“吸金”速度完全超越了Wannacry。

　　

　　根据分析结果，病毒样本运行之后，会枚举内网中的电脑，并尝试在445等端口使用SMB协议进行连接。

　　

　　深入分析发现，病毒连接时使用的是“永恒之蓝”（EternalBlue）漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用，是造成WannaCry全球快速爆发的重要原因之一，此次Petya勒索病毒也借助此漏洞达到了快速传播的目的。

　　

　　同时，病毒会修改系统的MBR引导扇区，当电脑重启时，病毒代码会在Windows操作系统之前接管电脑，执行加密等恶意操作。

　　

　　电脑重启后，会显示一个伪装的界面，此界面实际上是病毒显示的，界面上假称正在进行磁盘扫描，实际上正在对磁盘数据进行加密操作。

　　

　　当加密完成后，病毒才露出真正的嘴脸，要求受害者支付价值300美元的比特币之后，才会回复解密密钥。

　　

　　这个加密流程与2016年起出现的Petya勒索病毒的流程相似，twitter上也有安全人员确认了二者的相似关系。但是不同的是，之前的Petya病毒要求访问暗网地址获取解密密钥，而此次爆发的病毒直接留下了一个Email邮箱作为联系方式。

　　电脑这样设置可以防中招

　　1.、不要轻易点击不明附件，尤其是rtf、doc等格式。

　　2、及时更新Windows系统补丁，具体修复方案请参考“永恒之蓝”漏洞修复工具。

　　3、内网中存在使用相同账号、密码情况的机器请尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。

　　4、关闭TCP 135端口

　　建议在防火墙上临时关闭TCP 135端口以抑制病毒传播行为。

　　5、停止服务器的WMI服务

　　WMI（Windows Management Instrumentation Windows 管理规范）是一项核心的 Windows 管理技术 你可以通过如下方法停止 ：在服务页面开启WMI服务。在开始-运行，输入services.msc，进入服务。或者，在控制面板，查看方式选择大图标，选择管理工具，在管理工具中双击服务。

　　在服务页面，按W，找到WMI服务，找到后，双击 ，直接点击停止服务即可，如下图所示：

　　

　　6、断网备份重要文档

　　如果电脑插了网线，则先拔掉网线；如果电脑通过路由器连接wifi，则先关闭路由器。随后再将电脑中的重要文档拷贝或移动至安全的硬盘或U盘。

　　7、运行免疫工具，修复漏洞

　　首先拷贝U盘或移动硬盘里的“免疫工具”到电脑。待漏洞修复完成后，重启电脑，就可以正常上网了。