騰訊管家 勒索病毒,

　　6月28日消息WannaCry病毒剛剛平息?，F(xiàn)在，一款名為Petya的新型勒索軟件已經(jīng)遍布全球。據(jù)了解，烏克蘭的國(guó)家銀行、電力公司、機(jī)場(chǎng)、地鐵服務(wù)和多個(gè)組織正在遭受Petya的攻擊，銀行系統(tǒng)等多處國(guó)家設(shè)施被感染，導(dǎo)致運(yùn)行異常。

　　根據(jù)騰訊電腦管家的報(bào)告，中國(guó)區(qū)最早的攻擊發(fā)生在2017年6月27日上午，通過(guò)郵件附件傳播。據(jù)烏克蘭官方CERT消息，郵件附件被確認(rèn)為病毒攻擊源。

　　(烏克蘭官方CERT新聞證實(shí)郵件附件是此次病毒攻擊的源頭)

　　據(jù)了解，這是一種類似于“WannaCry”的勒索病毒新變種，傳播方式與“WannaCry”類似。它使用永恒之藍(lán)(EternalBlue)和OFFICE OLE機(jī)制漏洞(CVE-2017-0199)進(jìn)行傳輸，并且它還有局域網(wǎng)傳輸方法。

　　據(jù)騰訊安全反病毒實(shí)驗(yàn)室研究，該病毒樣本運(yùn)行后，會(huì)枚舉內(nèi)網(wǎng)中的計(jì)算機(jī)，嘗試使用SMB協(xié)議在135、139、445端口進(jìn)行連接。同時(shí)，病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū)。當(dāng)電腦重啟后，病毒代碼會(huì)先于Windows操作系統(tǒng)接管電腦，進(jìn)行加密等惡意操作。

　　電腦重啟后會(huì)顯示一個(gè)偽裝的界面，假裝正在進(jìn)行磁盤掃描，實(shí)際上是對(duì)磁盤數(shù)據(jù)進(jìn)行加密。加密完成后，病毒露出真面目，要求受害者支付贖金。

　　對(duì)于已經(jīng)被Petya勒索軟件中招的用戶，騰訊電腦管家提醒，可以通過(guò)WinPE進(jìn)入系統(tǒng)，有很大幾率恢復(fù)部分文件。騰訊管家用戶還可以下載“勒索病毒離線免疫工具”進(jìn)行防御等。

　　第二，斷網(wǎng)備份重要文件。如果電腦插電，先拔下網(wǎng)線；如果您的電腦通過(guò)路由器連接到wifi，請(qǐng)先關(guān)閉路由器。然后將重要文檔從您的計(jì)算機(jī)復(fù)制或移動(dòng)到安全硬盤或USB閃存驅(qū)動(dòng)器。

　　此外，對(duì)于管理員用戶，騰訊電腦管家建議如下：

　　是的，禁止訪問(wèn)接入層交換機(jī)PC網(wǎng)段之間的端口135、139和445(單擊查看)。

　　第二，要求所有員工按照上述內(nèi)容修復(fù)漏洞。

　　第三，使用“管理員助手”確認(rèn)員工電腦漏洞是否修復(fù)。

　　此外，騰訊安全云丁實(shí)驗(yàn)室分析發(fā)現(xiàn)，該病毒采用多種感染方式，其中郵件投毒方式具有針對(duì)性攻擊的特點(diǎn)。目標(biāo)中毒后會(huì)橫向滲透到內(nèi)網(wǎng)，通過(guò)下載更多的載體來(lái)檢測(cè)內(nèi)網(wǎng)。

　　網(wǎng)絡(luò)管理員可以通過(guò)以下方式監(jiān)控相關(guān)域名/IP、攔截病毒下載并統(tǒng)計(jì)內(nèi)部網(wǎng)感染的分布情況：

　　84.200.16.242

　　111.90.139.247

　　185.165.29.78

　　111.90.139.247

　　95.141.115.108

　　咖啡辦公室。坐標(biāo)

　　french-cooking.com

　　網(wǎng)絡(luò)管理員可以通過(guò)以下密鑰哈希來(lái)檢查內(nèi)部網(wǎng)感染：

　　415 Fe 69 BF 32634 ca 98 fa 07633 f 4118 e 1

　　0487382 a4 daf 8 EB 9660 f1 c 67 e 30 F8 b 25

　　a1d 5895 f 85751 dfe 67d 19 cccb 51 b 051 a

　　71b 6a 493388 e 7 d0b 40 c 83 ce 903 BC 6b 04

　　相關(guān)閱讀：

　　防范/遏制勒索軟件Petya攻擊指南

　　微軟發(fā)文稱：Win10不是勒索軟件的目標(biāo)(Win10可以抵御勒索軟件)

　　推薦：不激活Win10系統(tǒng)下載Win10鏡像。