紧急预警 | Petya勒索病毒最新变种来袭

北京时间6月28日凌晨，又一波大规模勒索蠕虫病毒攻击席卷全球，多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。据莫斯科的网络安全公司Group-IB透露，目前为止，仅俄罗斯和乌克兰两国就有80多家公司被该勒索病毒感染。

在汇集了多方威胁情报后，样本间直接的关系仍不明确的情况下，经过对部分关键样本文件的跟进分析发现，安恒信息确认这次攻击是勒索病毒“必加”（Petya）的新变种。Petya本身属于一款非常简单的勒索软件，与其它传统勒索软件的功能存在很大区别。具体来讲，Petya并不会逐个对目标系统上的文件进行加密。一旦完成感染，该病毒即会利用一条私钥对目标计算机进行加密，且在系统解密之前该设备将无法正常使用。

Petya会重启受害者的计算机并加密磁盘驱动器内的主文件表（简称MFT）并渲染主引导记录（简称MBR），进而通过占用物理磁盘上的文件名、大小与位置信息以限制用户对完整系统的正常访问。其中Petya替换的MBR代码中包含赎金说明。用户被感染后，勒索软件会要求用户支付价值300美元的比特币以解密自己的系统。

根据安恒信息安全研究院的初步分析，Petya采用了邮件、下载器和蠕虫的组合传播方式。该病毒釆用微软Office RTF漏洞（CVE-2017-0199）进行钓鱼攻击，用微软Windows SMB漏洞（MS17-010）进行内网传播。与5月份爆发的WannaCry病毒类似，都是通过对磁盘文件加密进行恶意比特币勒索，但不同的是Petya同时利用了Office RTF漏洞进行感染。由于利用了与5月份爆发的“WannaCry”勒索软件部分相同安全漏洞。因此，建议您尽快采取以下措施防范病毒感染：

• 安装微软MS17-010补丁。 https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 鉴于“WannaCry”漏洞的严重影响，微软为已经不在服务期的XP、Server 2003等老版本系统也发布的特别补丁，补丁下载地址： https://technet.microsoft.com/library/security/4025685.aspx
• 在Windows系统上关闭不必要开放的端口，如445、135、137、138、139等，并关闭网络共享。
• 不要随意打开未知来源的邮件、不要打开未明来源的文档，包括网站、网盘共享的文件，聊天工具传输的文件等。

6月26日，安恒信息与众安保险联合推出了网络信息安全综合保险，这款产品是针对国内政府、企事业单位等组织机构网络安全风险防范及补救的较为完整的保险解决方案，保额最高达300万。用户可以根据自己信息资产的实际安全状况选择投保网络信息安全综合保险，防范于未然。