昨日晚间也就是6月27日晚，全球再次爆发新一轮勒索病毒，此次的病毒与5月份的勒索病毒相比入侵速度更快，赎金支付率也更高。而据360监测，中国也已经出现了最新的勒索病毒。针对此次病毒，你改怎么办呢？这次国内防范较早，估计黑客在中国要哭了。

6月27日晚间，大规模勒索蠕虫病毒攻击重新席卷全球。据消息显示，名为”Petya”的勒索病毒变种又开始肆虐，乌克兰、俄罗斯等欧洲多国已大面积感染。据360方面提供的数据显示，在欧洲国家重灾区，新病毒变种的传播速度达到每10分钟感染5000余台电脑，多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷，甚至乌克兰副总理的电脑也遭到感染。根据比特币交易市场的公开数据显示，病毒爆发最初一小时就有10笔赎金付款。据360安全中心监测，目前国内也出现了病毒传播迹象。

与5月爆发的Wannacry相比，Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞，还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区，新病毒变种的传播速度达到每10分钟感染5000余台电脑，多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷，甚至乌克兰副总理的电脑也遭到感染。

360首席安全工程师郑文彬介绍说，Petya勒索病毒最早出现在2016年初，以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力，即使电脑打齐补丁，也可能被内网其他机器渗透感染，必须开启360等专业安全软件进行拦截，才能确保电脑不会中毒。

传播方式

360首席安全工程师郑文彬称，此次最新爆发的病毒具备了全自动化的攻击能力，即使电脑打齐补丁，也可能被内网其他机器渗透感染。

根据360的威胁情报，有用户收到带有附件名为“Order-20061017.doc”的邮件，该邮件附件为使用CVE-2017-0199漏洞的恶意文件，漏洞触发后从“http ://french-cooking.com/myguy.exe”下载恶意程序执行。

外部威胁情报显示，该勒索软件就是由此恶意程序最早传播。

据分析，病毒作者很可能入侵了乌克兰的专用会计软件me-doc，来进行最开始的传播。他们将病毒程序伪装成me-doc的升级程序给其用户下发。

由于这是乌克兰官方要求的报税软件，因此乌克兰的大量基础设施、政府、银行、大型企业都受到攻击，其他国家同乌克兰有关联的投资者和企业也收到攻击，这展示了此次勒索病毒变种的一个针对性特征，针对有报税需求的企业单位进行攻击也符合勒索病毒的牟利特点。

根据360安全中心监测，此次国内出现的勒索病毒新变种主要攻击途径是内网渗透，也就是利用“管理员共享”功能攻击内网其他机器，相比已经被广泛重视的“永恒之蓝”漏洞更具杀伤力。

技术原理

据阿里云安全专家介绍，勒索病毒通过Windows漏洞进行传播，同时会感染局域网中的其它电脑。电脑感染勒索病毒后，会被加密特定类型文件，导致电脑无法正常运行。而这种勒索病毒在内网系统中，主要通过主要通过Windows管理体系结构（Microsoft Windows Management Instrumentation），和PSEXEC（SMB协议）进行扩散。

该病毒会加密磁盘主引导记录（MBR），导致系统被锁死无法正常启动，然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR，病毒会进一步加密文档、视频等磁盘文件。

阿里云在对病毒样本进行研究后发现，操作系统被感染后，重新启动时会造成无法进入系统。下图显示的就是病毒伪装的磁盘扫描程序。

而该病毒对勒索对象的加密，可以分为以下7个步骤：

根据安天方面的消息，该病毒的勒索模块实际上是一个DLL文件，该文件被加载后遍历用户磁盘文件（除C:/Windows目录下），并对指定后缀名的文件进行加密，加密后不修改原文件名和扩展名。

该文件修改MBR，同时，添加计划任务，在等待一段时间后，关闭计算机。当用户开启计算机时，会显示勒索界面和信息并无法进入系统。

与Wannacry的差异

据雷锋网宅客频道了解，这次的新型勒索病毒变种，是利用系列漏洞进行传播的新勒索病毒家族。与5月爆发的WannaCry相比，新型勒索病毒变种的传播速度更快。此次勒索病毒的主要特点有：

该勒索病毒使用了多种方式在内网进行攻击传播，包括使用了NSA的武器库中的永恒之蓝、永恒浪漫系列远程攻击武器，以及利用内网共享的方式传播。

因此不仅没有及时修复NSA武器库漏洞的用户会受影响，只要内网中有其他用户受到攻击，已经打了补丁的电脑也可能会受到攻击。

此次的勒索病毒会导致电脑不可用。此前的WannaCry病毒仅会加密用户文件，但是用户的电脑仍暂时可用，而此次的勒索病毒会感染用户电脑的引导区，导致用户电脑无法正常开机（强制显示勒索信息）。

此外，该勒索病毒加密的文件类型相比WannaCry少，一共有65种，而WannaCry为178种（包括常见文件类型）。

解决方案

目前，网络管理员可通过，监测相关域名/IP，拦截病毒下载，统计内网感染分布：

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

french-cooking.com

此外，还可以通过如下关键HASH排查内网感染情况：

415fe69bf32634ca98fa07633f4118e1

0487382a4daf8eb9660f1c67e30f8b25

a1d5895f85751dfe67d19cccb51b051a

71b6a493388e7d0b40c83ce903bc6b04

目前，包括360、腾讯、阿里云、安天、金山毒霸在内的各大安全厂商已经推出了初步的解决方案。

以下是针对受害者的初步建议：

－ 目前勒索者使用的邮箱已经停止访问，不建议支付赎金。

－ 所有在IDC托管或自建机房有服务器的企业，如果采用了Windows操作系统，立即安装微软补丁。

－ 安全补丁对个人用户来说相对简单。只需自学装载，就能完成。

－ 对大型企业或组织机构，面对成百上千台机器，最好还是能使用客户端进行集中管理。

－ 可靠的数据备份可以将勒索软件带来的损失最小化。

推荐阅读

快播 合集

智能h3输入法合集

非主流相机合集

周易起名软件注册码合集

鲨鱼影视合集

抖音短视频合集下载