27號,包括烏克蘭在內的多個歐洲國家遭遇新一撥的大範圍電腦病毒攻擊,多地出現電腦故障和網際網路中斷。有報導稱,這種新病毒的威力足以和5月份席捲全球的勒索病毒相提並論。 在這次病毒攻擊中,烏克蘭首當其衝,受到的攻擊最為嚴重, 甚至,烏克蘭的ATM機也被拖下了水。
據報導,烏克蘭部分政府機構和多家重要企業的電腦當天都遭到了病毒攻擊,導致電腦死機和網絡癱瘓,使得這些機構無法正常工作,多家國有和私人銀行被迫提前關門。此外,基輔國際機場、烏克蘭國家能源公司、郵政公司等大型企業以及部分媒體和行動電話運營商的電腦當天也未能倖免。
△烏克蘭的ATM機也被拖下了水。
而除了烏克蘭之外,英國、法國、丹麥、西班牙、挪威以及俄羅斯等歐洲國家的電腦用戶也報告遭到了這一病毒的攻擊。
多家反病毒機構的專家透露說,初步調查表明,此次攻擊來自於一種新型病毒,這種病毒在感染電腦硬碟之後,會對電腦進行加密,使其無法使用,用戶若想獲得解密,須向其指定的電子錢包支付價值300美元的比特幣。這種攻擊手法十分類似於曾在上個月肆虐全球的勒索病毒,不過看起來比當時的勒索病毒更加專業、也更難以對付。
今年5月,勒索病毒感染了全球150多個國家的大約30萬臺電腦,病毒會對電腦內的文件進行加密,並向用戶勒索一定的比特幣作為贖金。
Petya勒索病毒通過永恆之藍傳播,並被判定為高度風險。該病毒會加密磁碟主引導記錄(MBR),導致系統被鎖死無法正常啟動,然後在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR,病毒會進一步加密文檔、視頻等磁碟文件。它的勒索金額與此前Wannacry病毒完全一致,均為折合300美元的比特幣。根據比特幣交易市場的公開數據顯示,病毒爆發最初一小時就有10筆贖金付款,其「吸金」速度完全超越了Wannacry。
根據分析結果,病毒樣本運行之後,會枚舉內網中的電腦,並嘗試在445等埠使用SMB協議進行連接。
深入分析發現,病毒連接時使用的是「永恆之藍」(EternalBlue)漏洞,此漏洞在之前的WannaCry勒索病毒中也被使用,是造成WannaCry全球快速爆發的重要原因之一,此次Petya勒索病毒也藉助此漏洞達到了快速傳播的目的。
同時,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows作業系統之前接管電腦,執行加密等惡意操作。
電腦重啟後,會顯示一個偽裝的界面,此界面實際上是病毒顯示的,界面上假稱正在進行磁碟掃描,實際上正在對磁碟數據進行加密操作。
當加密完成後,病毒才露出真正的嘴臉,要求受害者支付價值300美元的比特幣之後,才會回復解密密鑰。
這個加密流程與2016年起出現的Petya勒索病毒的流程相似,twitter上也有安全人員確認了二者的相似關係。但是不同的是,之前的Petya病毒要求訪問暗網地址獲取解密密鑰,而此次爆發的病毒直接留下了一個Email郵箱作為聯繫方式。
1.、不要輕易點擊不明附件,尤其是rtf、doc等格式。
2、及時更新Windows系統補丁,具體修複方案請參考「永恆之藍」漏洞修復工具。
3、內網中存在使用相同帳號、密碼情況的機器請儘快修改密碼,未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。
4、關閉TCP 135埠
建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。
5、停止伺服器的WMI服務
WMI(Windows Management Instrumentation Windows 管理規範)是一項核心的 Windows 管理技術 你可以通過如下方法停止 :在服務頁面開啟WMI服務。在開始-運行,輸入services.msc,進入服務。或者,在控制面板,查看方式選擇大圖標,選擇管理工具,在管理工具中雙擊服務。
在服務頁面,按W,找到WMI服務,找到後,雙擊 ,直接點擊停止服務即可,如下圖所示:
6、斷網備份重要文檔
如果電腦插了網線,則先拔掉網線;如果電腦通過路由器連接wifi,則先關閉路由器。隨後再將電腦中的重要文檔拷貝或移動至安全的硬碟或U盤。
7、運行免疫工具,修復漏洞
首先拷貝U盤或移動硬碟裡的「免疫工具」到電腦。待漏洞修復完成後,重啟電腦,就可以正常上網了。