新勒索病毒國內未爆發 企業和個人仍須分別這么防范

中新網北京6月29日電 (程春雨)27日，全球多個國家的網絡遭到比5月爆發的Wannacry勒索病毒傳播速度還快的Petya勒索病毒變種的攻擊。中國目前則未出現遭大面積攻擊的事件。騰訊反病毒實驗室表示，經過跟進分析，這次攻擊是Petya勒索病毒的新變種，為防范于未然，建議國內企業系統管理員不要隨意給用戶開設管理員權限等。

新勒索病毒席卷多國 中國未現大面積感染

北京時間2017年6月27日晚，據外媒消息，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國正在遭遇Petya勒索病毒襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。

國外電腦安全專家認為，此次的病毒與今年5月波及全球的Wannacry勒索病毒傳播方式有相似之處，但可能更危險、更難以控制。雖然專家已找到預防中毒的方法，但無法為已經中毒的電腦解鎖。

不過來自騰訊安全最新披露消息，使用騰訊電腦管家“數據恢復U盤”的找回路徑，已成功幫助感染用戶找回部分文檔。

騰訊電腦管家安全專家鄧欣表示，此次病毒爆發源頭開始于烏克蘭，但受影響的不止烏克蘭，不排除進一步擴散的可能性；目前，國內未現新勒索病毒大面積感染事件，另外相比于Wannacry，這次Petya傳播手段更加多樣化，而且可能還存在一些尚未發現的傳播方式。

安全機構詳解新勒索病毒攻擊模式

經過分析，騰訊反病毒實驗室表示，該病毒樣本與之前收到廣泛關注的Wannacry病毒相似，同樣利用了MS17-010(永恒之藍)漏洞進行傳播。Petya勒索變種成功執行后，首先會嘗試利用漏洞將自身復制在遠程計算機下的C:\Windows目錄中。但由于先前Wannacry的傳播使廠商及用戶進行了防范升級，該變種在傳播途徑上采取了郵件、下載器和蠕蟲等多種組合傳播方式以加快傳播，其中使用了WMIC、PsExec等管理工具。

新一輪超強電腦病毒正在包括俄羅斯、英國、烏克蘭等在內的歐洲多個國家迅速蔓延。

其中WMIC擴展WMI(Windows Management Instrumentation，Windows管理工具)，提供了從命令行接口和批命令腳本執行系統管理的支持。PsExec 是一個輕型的 telnet 替代工具，它使您可執行其他系統上的進程，并且可以獲得與控制臺應用程序相當的完全交互性。WMIC和PsExec廣泛被系統管理員，IT運維人員使用。

勒索樣本通過釋放一個臨時文件 *.tmp，該臨時文件為windows賬戶信息(用戶名，密碼)竊取工具，該黑客工具能獲取到中毒計算機存儲的登錄其他系統和服務的用戶名、密碼，并將其傳送給母體。

勒索樣本利用獲取到登錄其他系統的用戶名密碼，枚舉網絡上的計算機，復制自身到網絡計算機上，并嘗試使用WMIC命令，在遠程機器啟動惡意DLL。同時勒索樣本也會嘗試使用本身釋放的PsExec.exe控制網絡中其他計算機，以達到傳播自身的目的。

其中，無論是WMIC方式還是PsExec方式，如果獲取到的用戶信息不屬于Administrator，該病毒都不可以實現傳播。

綜上分析，一旦擁有管理權限的域控制服務器被最新Petya變種攻陷，域控制服務器管理的計算機都會面臨被感染的風險。

　　外媒報道稱，這輪病毒足以與五月席卷全球的勒索病毒的攻擊性相提并論。

權威機構建議機構和個人分別這樣防范

騰訊反病毒實驗室給企業系統管理員提出建議：

一是，除非真正需要，不要隨意給用戶開設管理員權限。二是，加強對域控制服務器的安全防護，更新補丁。三是，加固策略，禁止域控管理員帳號登錄終端。四是，禁止使用域控管理員等高權限帳號運行業務服務，避免域控帳號泄露。五是，終端網絡屏蔽非必要來源的入站445和135端口請求。

而對于廣大電腦用戶，國家互聯網應急中心昨日提出防護策略五點建議：

一是，不要輕易點擊不明附件，尤其是rtf、doc等格式文件。二是，內網中存在使用相同賬號、密碼情況的機器請盡快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成后再進行開機操作。三是，更新操作系統補丁(MS)https://technet.microsoft.com/en-us/library/security/ms17-010.aspx。四是，更新Microsoft Office/WordPad遠程執行代碼漏洞(CVE-2017-0199)補丁https://technet.microsoft.com/zh-cn/office/mt465751.aspx。五是，禁用WMI服務 https://zhidao.baidu.com/question/91063891.html。