网易云对 Petya 勒索病毒的安全建议

继 WannaCry 病毒席卷英国之后,一种名为 Petya 的新型勒索病毒席卷了欧洲。乌克兰、俄罗斯等国家的大量政府、银行、公司的主机均遭受到相关攻击。据悉,新病毒在欧洲的变种传播速度达到每 10 分钟感染 5000 余台电脑。  

在此,网易云特别提醒还未修复相关安全漏洞的用户尽快完成修复工作,避免遭受不必要的损失。 

Petya 的危害:

Petya 和 WannaCry 类似,都是加密勒索病毒,传播方式都是通过 Windows 主机的漏洞进行传播。不同之处在于,Petya 激活后,会重启受害者的计算机并加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置信息来限制对完整系统的访问,进而致使电脑无法启动,一旦中招会试图感染局域网内其他主机。 

机器重启后会加载勒索页面,用户无法进行任何操作。根据勒索病毒中显示的信息,用户需要向对方支付价值 300 美金的比特币才能对其解锁。 

漏洞应对建议:

感染前的预防措施:

1. 为系统打补丁

修复永恒之蓝 (ms17-010)漏洞。补丁地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.asx

XP 和 2003 用户请到以下链接下载(补丁地址):http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

修复 RTF 漏洞(CVE-2017-0199),防止利用微软 Office 和写字板进行远程代码执行。补丁地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

2. 临时关闭系统的 WMI 服务和删除 admin$ 共享,阻断蠕虫的横向传播方式。

具体操作为,右键 cmd.exe "以管理员身份运行",输入如下命令:

net stop winmgmt

net share admin$ /delete

3. 关闭 445,135,139 端口,或禁止外网访问这些端口。

此外,这里再提供一份安全专家的 “疫苗”。据来自 Cybereason 的安全研究人员 Amit Serper 的分析,Petya 会首先搜索名为 perfc 的本地文件,如果说该名称文件存在,则退出加密过程。也就是说,用户只需要在 C:\Windows 文件夹下建立名为 perfc 的文件,并将其设为 “只读” 即可。 

感染后的补救措施:

如您已感染该病毒,请不要交纳赎金,目前黑客使用的邮箱已被关闭,交赎金不会恢复文件。

由于在感染 Petya 的过程中,病毒会先重启电脑加载恶意的磁盘主引导记录(MBR)来加密文件,这中间会启用一个伪造的加载界面。中招者如果能感知到重启异常,在引导界面启动系统前关机或拔掉电源,随后可以通过设置 U 盘或光盘第一顺序启动 PE 系统,使用 PE 系统修复 MBR 或者直接转移硬盘里的数据,可以在一定程度上避免文件的损失。

建议加固措施:

Windows 操作系统存在大量安全漏洞,提高安全意识养成良好习惯可以一定程度上避免遭受病毒:

1. 微软对 Windows XP 和 Windows Server 2003 已不再更新,请使用高版本的 Windows 主机。

2. 开启 Windows 自动更新。

3. 对任何邮件保持警惕性,不要轻易运行未知来源的任何附件,尤其是 rtf、doc 等格式。

4. 重要数据做好日常备份。

文章来源:网易云

相关阅读:

关于WannaCry勒索病毒,你需要知道的8个问题