關於新勒索病毒Petya你最想知道的5個問題

02-11

1、如何防範勒索病毒Petya？

火絨安全團隊通宵分析病毒代碼、緊急升級了病毒庫，開啟"火絨安全軟體"即可攔截和查殺Petya病毒。

此外，火絨工程師建議用戶：

1)將重要文件進行備份。

2)不要輕易點擊不明附件，尤其是rtf、doc等格式文件。

3)安裝Windows系統補丁（MS）

下載地址：Microsoft Security Bulletin MS17-010 - Critical

4)安裝 Microsoft Office/WordPad 遠程執行代碼漏洞（CVE -2017-0199）補丁

下載地址： Office 365 客戶端更新分支版本

5)禁用 WMI服務

教程：如何禁用WMI服務？_百度知道

2、中毒之後支付贖金可以找迴文件嗎？

非常遺憾，不能。因為受害者支付贖金後，還需將比特幣錢包地址發送至郵箱"wowsmith123456@posteo.net"，以便病毒作者確認受害人是否付款。

但是截止至發稿前，此郵箱的供應商Posteo宣布，已經將該郵箱關閉。所以即使支付了贖金，病毒作者也無法收到郵件，所以也就無法提供密碼。

3、中毒後，能否通過直接拔掉電源阻止加密文件過程？

不能。病毒一旦運行，將會在一個小時內重啟，在這段時間內，特定後綴的文件，將被加密。當電腦重啟後出現偽造的系統修復界面時，拔掉電源為時已晚，並不能挽回已經被加密的文件。

4、不點陌生郵件、打補丁就萬事大吉了么？

NO！Petya採用多種方式傳播，除了很多安全廠商提到的釣魚郵件，以及利用"永恆之藍"漏洞傳播之外，還通過以下方式傳播：

1、通過系統自帶的WMIC連接遠程計算機，複製並執行病毒程序。

2、通過釋放到Windows目錄下的dllhost（Sysinternals的PeExec）連接遠程計算機，複製並執行病毒程序。

也就是說，如果某個企業的一台電腦因病毒郵件感染Petya，那麼整個企業內網中包含"永恆之藍"漏洞的電腦都有可能被感染。即使安裝了"永恆之藍"漏洞補丁，仍有可能被感染。

5、"Petya "曾經出現過?

本次勒索病毒剛出現時曾被稱作"Petya "，被認為是去年Petya的變種。火絨安全實驗室認為，"新Petya "雖然在加密手段、勒索方式上與"老Petya "極為相似（即都修改MBR，在顯示磁碟掃描界面的同時利用MFT加密磁碟）。但是，二者在傳播方式上有著明顯不同，"老Petya "本身沒有傳播能力。而"新Petya "除了自身攜帶"永恆之藍"利用代碼以外，還有其他傳播方式，是其增強版。