【IT168 评论】不久前爆发发的WannaCry勒索病毒主要针对微软 windows系统,其实用户正常安装补丁即可避免,但黑客就是赌在很多用户没有打补丁,结果造成很多用户遭受攻击,WannaCry阴云刚刚散去,另一“未知病毒”再次爆发,这款名为Petya的勒索病毒正在全球快速传播,依旧针对微软windows系统,而且从加密文件升级为加密系统,微软这会估计想哭死啦!
分析:Petya病毒同样同样利用的是微软Windows SMBv1漏洞进行感染,然后再利用内网蠕虫传播方式进一步扩大感染,不同的是Petya则采用了新的对完整系统的加密方式,使得恢复变得更加困难,中招之后新的主引导记录(MBR)会直接加载至勒索页面,使用户完全无法对主机进行任何操作,勒索信息显示,用户需向对方支付价值300美金的比特币。
造成影响:根据相关信息显示,目前影响最严重的国家是乌克兰(副总理Pavlo Rozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo),其他部分国家均受到不同程度的影响,包括俄罗斯(俄罗斯石油公司(Rosneft))、西班牙、法国、英国、丹麦、印度、美国(律师事务所DLA Piper)等国家。目前国内已有企业中招,万余台主机再次感染这一新型勒索病毒。
安天建议未中招用户防范措施:
●邮件防范
由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件的邮件,请勿打开;收到带不明链接的邮件,请勿点击链接。
● 更新操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
● 更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
●禁用WMI服务
禁用操作方法:https://zhidao.baidu.com/question/91063891.html
●更改空口令和弱口令
如操作系统存在空口令或弱口令的情况,请及时将口令更改为高强度的口令。
● 免疫工具
安天开发的“魔窟”(WannaCry)免疫工具,针对此次事件免疫仍然有效。
下载地址:http://www.antiy.com/tools.html
对于已被感染安天建议:
● 如无重要文件,建议重新安装系统,更新补丁、禁用WMI服务、使用免疫工具进行免疫。
● 有重要文件被加密,如已开启Windows自动镜像功能,可尝试恢复镜像;或等待后续可能出现解密工具。
总结:网络安全并非一时之功,而是需要时时警惕,通过两次事件,希望使用windows系统的用户保持更新,不要心怀侥幸心理,从另外一个层面上来看,也积极推动了用户从windows7向windows10升级,苹果笔记本用户暂时没有任何风险!