登录 / 注册
IT168网络安全频道
IT168首页 > 网络安全 > 网络安全评论 > 正文

微软“想哭”Petya病毒再次来袭,这次是加密系统!

2017-06-28 15:13    it168网站原创  作者: 闫志坤 编辑: 闫志坤

    【IT168 评论】不久前爆发发的WannaCry勒索病毒主要针对微软 windows系统,其实用户正常安装补丁即可避免,但黑客就是赌在很多用户没有打补丁,结果造成很多用户遭受攻击,WannaCry阴云刚刚散去,另一“未知病毒”再次爆发,这款名为Petya的勒索病毒正在全球快速传播,依旧针对微软windows系统,而且从加密文件升级为加密系统,微软这会估计想哭死啦!

微软“想哭”Petya病毒再次来袭!

  分析:Petya病毒同样同样利用的是微软Windows SMBv1漏洞进行感染,然后再利用内网蠕虫传播方式进一步扩大感染,不同的是Petya则采用了新的对完整系统的加密方式,使得恢复变得更加困难,中招之后新的主引导记录(MBR)会直接加载至勒索页面,使用户完全无法对主机进行任何操作,勒索信息显示,用户需向对方支付价值300美金的比特币。

微软“想哭”Petya病毒再次来袭!

  造成影响:根据相关信息显示,目前影响最严重的国家是乌克兰(副总理Pavlo Rozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo),其他部分国家均受到不同程度的影响,包括俄罗斯(俄罗斯石油公司(Rosneft))、西班牙、法国、英国、丹麦、印度、美国(律师事务所DLA Piper)等国家。目前国内已有企业中招,万余台主机再次感染这一新型勒索病毒。

  安天建议未中招用户防范措施:

  ●邮件防范

  由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件的邮件,请勿打开;收到带不明链接的邮件,请勿点击链接。

  ● 更新操作系统补丁(MS)

  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

  ● 更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁

  https://technet.microsoft.com/zh-cn/office/mt465751.aspx

  ●禁用WMI服务

  禁用操作方法:https://zhidao.baidu.com/question/91063891.html

  ●更改空口令和弱口令

  如操作系统存在空口令或弱口令的情况,请及时将口令更改为高强度的口令。

  ● 免疫工具

  安天开发的“魔窟”(WannaCry)免疫工具,针对此次事件免疫仍然有效。

  下载地址:http://www.antiy.com/tools.html

  对于已被感染安天建议:

微软“想哭”Petya病毒再次来袭!

  ● 如无重要文件,建议重新安装系统,更新补丁、禁用WMI服务、使用免疫工具进行免疫。

  ● 有重要文件被加密,如已开启Windows自动镜像功能,可尝试恢复镜像;或等待后续可能出现解密工具。

  总结:网络安全并非一时之功,而是需要时时警惕,通过两次事件,希望使用windows系统的用户保持更新,不要心怀侥幸心理,从另外一个层面上来看,也积极推动了用户从windows7向windows10升级,苹果笔记本用户暂时没有任何风险!

标签: 病毒
相关文章
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫码送文库金币

编辑推荐
系统架构师大会
系统架构师大会
点击或扫描关注
IT168企业级微信关注送礼
IT168企业级微信关注送礼
扫描关注
首页 评论 返回顶部