關於新勒索病毒Petya你最想知道的5個問題

1、如何防範勒索病毒Petya？

火絨安全團隊通宵分析病毒程式碼、緊急升級了病毒庫，開啟“火絨安全軟體”即可攔截和查殺

Petya病毒

。

此外，火絨工程師建議使用者：

1）將重要檔案進行備份。

2）不要輕易點選不明附件，尤其是rtf、doc等格式檔案。

3）安裝Windows系統補丁（MS）

下載地址：Microsoft Security Bulletin MS17-010 - Critical

4）安裝 Microsoft Office/WordPad

遠端執行程式碼

漏洞（CVE -2017-0199）補丁

下載地址： Office 365 客戶端更新分支版本

5）禁用 WMI服務

教程： 如何禁用WMI服務？_百度知道

2、中毒之後支付贖金可以找回檔案嗎？

非常遺憾，不能。因為受害者支付贖金後，還需將

比特幣

錢包地址傳送至郵箱“wowsmith123456@posteo。net”，以便病毒作者確認受害人是否付款。

但是截止至發稿前，此郵箱的供應商Posteo宣佈，已經將該郵箱關閉。所以即使支付了贖金，病毒作者也無法收到郵件，所以也就無法提供密碼。

3、中毒後，能否透過直接拔掉電源阻止加密檔案過程？

不能。病毒一旦執行，將會在一個小時內重啟，在這段時間內，特定字尾的檔案，將被加密。當電腦重啟後出現偽造的系統修復介面時，拔掉電源為時已晚，並不能挽回已經被加密的檔案

。

4、不點陌生郵件、打補丁就萬事大吉了麼？

NO！Petya採用多種方式傳播，除了很多安全廠商提到的釣魚郵件，以及利用“

永恆之藍

”漏洞傳播之外，還透過以下方式傳播：

1、透過系統自帶的WMIC連線遠端計算機，複製並執行病毒程式。

2、透過釋放到Windows目錄下的dllhost（Sysinternals的PeExec）連線遠端計算機，複製並執行病毒程式。

也就是說，如果某個企業的一臺電腦因病毒郵件感染Petya，那麼整個企業內網中包含“永恆之藍”漏洞的電腦都有可能被感染。即使安裝了“永恆之藍”漏洞補丁，仍有可能被感染。

5、"Petya "曾經出現過?

本次

勒索病毒

剛出現時曾被稱作“Petya ”，被認為是去年Petya的變種。

火絨安全實驗室

認為，“新Petya ”雖然在加密手段、勒索方式上與“老Petya ”極為相似（即都修改MBR，在顯示磁碟掃描介面的同時利用MFT加密磁碟）。但是，二者在傳播方式上有著明顯不同，“老Petya ”本身沒有傳播能力。而“新Petya ”除了自身攜帶“永恆之藍”利用程式碼以外，還有其他傳播方式，是其增強版。