6月27日晚間（歐洲6月27日下午時(shí)分），新一輪的勒索病毒變種（本次名為Petya）又再一次襲擊并導(dǎo)致歐洲多國(guó)多個(gè)組織、多家企業(yè)的系統(tǒng)出現(xiàn)癱瘓，距今年5月感染全球150多個(gè)國(guó)家的Wannacry勒索病毒事件僅一個(gè)多月。

　　電腦被攻擊后顯示的頁(yè)面

傳播機(jī)制：系勒索病毒新變種 傳播速度更快

　　與5月爆發(fā)的Wannacry相比，Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA“永恒之藍(lán)”等黑客武器攻擊系統(tǒng)漏洞，還會(huì)利用“管理員共享”功能在內(nèi)網(wǎng)自動(dòng)滲透。在歐洲國(guó)家重災(zāi)區(qū)，新病毒變種的傳播速度達(dá)到每10分鐘感染5000余臺(tái)電腦，多家運(yùn)營(yíng)商、石油公司、零售商、機(jī)場(chǎng)、銀行ATM機(jī)等企業(yè)和公共設(shè)施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。

　　烏克蘭國(guó)有銀行oschadbank的ATM機(jī)被攻擊

　　據(jù)國(guó)家信息技術(shù)安全中心處長(zhǎng)肖彪介紹，目前，烏克蘭似乎是“Petya”受打擊最嚴(yán)重的國(guó)家之一。該國(guó)政府、一些國(guó)內(nèi)銀行和能源公司今天都發(fā)出了警報(bào)，他們正在處理來(lái)自Petya感染的后果。

　　“此次攻擊是勒索病毒‘必加’（Petya）的新變種”，肖彪介紹，該變種疑似采用了郵件、下載器和蠕蟲(chóng)的組合傳播方式，之后通過(guò)MS17-010（永恒之藍(lán)）漏洞和系統(tǒng)弱口令進(jìn)行內(nèi)網(wǎng)傳播。同時(shí)，經(jīng)過(guò)初步分析發(fā)現(xiàn)，Petya捆綁了一個(gè)名為“LSADump”的工具，可以從Windows計(jì)算機(jī)和網(wǎng)絡(luò)上的域控制器收集密碼和憑證數(shù)據(jù)。

　　因此，Petya勒索病毒對(duì)內(nèi)網(wǎng)總體上比此前受到廣泛關(guān)注的“魔窟”（WannaCry）有更大的威脅，而多種傳播手段組合的模式必將成為勒索軟件傳播的常態(tài)模式。

　　360首席安全工程師鄭文彬介紹說(shuō)，Petya勒索病毒最早出現(xiàn)在2016年初，以前主要利用電子郵件傳播。最新爆發(fā)的類似Petya的病毒變種則具備了全自動(dòng)化的攻擊能力，即使電腦打齊補(bǔ)丁，也可能被內(nèi)網(wǎng)其他機(jī)器滲透感染。

影響：目前對(duì)經(jīng)濟(jì)損失不是很重 但值得警惕

　　記者了解到，新變異病毒（Petya）不僅只對(duì)文件進(jìn)行加密，而且直接將整個(gè)硬盤加密、鎖死，在出現(xiàn)以下界面并癱瘓后，其同時(shí)自動(dòng)向局域網(wǎng)內(nèi)部的其它服務(wù)器及終端進(jìn)行傳播。

　　Petya要求受害者通過(guò)Tor網(wǎng)絡(luò)支付300美金贖金來(lái)解鎖相關(guān)被加密文件，但是目前大量證據(jù)表明即使支付贖金也無(wú)法進(jìn)行解密文件。

　　肖彪指出，勒索病毒在西方已經(jīng)非常流行，已經(jīng)形成黑色產(chǎn)業(yè)鏈，大量郵件中夾雜勒索軟件，目前沒(méi)有明顯證據(jù)證明該次勒索病毒對(duì)歐洲國(guó)家產(chǎn)生太大的經(jīng)濟(jì)影響，但是值得警惕，一旦后面出現(xiàn)大規(guī)模爆發(fā)可能會(huì)產(chǎn)生更大影響。目前我國(guó)已經(jīng)有極少數(shù)單位出現(xiàn)被Petya感染的情況。歐洲超市petya被攻擊

　　“勒索軟件的解密是非常困難的，如果文件被加密，暫時(shí)還沒(méi)有非常有效的解決辦法，因此我們要注重加強(qiáng)防范。”肖彪提到，或許我們可以考慮從新的領(lǐng)域防范，如云盤等。隨著勒索軟件被越來(lái)越多人熟知，可能會(huì)有更大一部分用戶考慮備份數(shù)據(jù)。

防范：我國(guó)應(yīng)對(duì)能力很強(qiáng) 十幾年前已有措施

　　目前，網(wǎng)絡(luò)安全相關(guān)主管部門已經(jīng)下發(fā)了針對(duì)此次蠕蟲(chóng)的風(fēng)險(xiǎn)提示以及防范意見(jiàn)。

　　對(duì)于防范措施，肖彪表示，國(guó)內(nèi)已經(jīng)有了各種非常好的防范手段，包括之前Wannacry在內(nèi)，在國(guó)內(nèi)沒(méi)有產(chǎn)生太大的影響。早在十多年前，我國(guó)運(yùn)營(yíng)商管理部門已經(jīng)要求運(yùn)營(yíng)商將445端口、139端口等進(jìn)行了屏蔽，風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)等也有具體的內(nèi)網(wǎng)的隔離、補(bǔ)丁安裝、端口關(guān)閉等要求。“我們不是沒(méi)有做應(yīng)急，而是一直以來(lái)都在做”，他指出，正因如此類似勒索病毒對(duì)我國(guó)影響沒(méi)有想象中那么大。

據(jù)了解，當(dāng)前的具體防范措施有如下方式：

　　1、郵件防范

　　由于此次“必加”（Petya）勒索軟件變種首次傳播通過(guò)郵件傳播，所以應(yīng)警惕釣魚郵件。建議收到帶不明附件的郵件，請(qǐng)勿打開(kāi)；收到帶不明鏈接的郵件，請(qǐng)勿點(diǎn)擊鏈接。

　　2、更新操作系統(tǒng)補(bǔ)?。∕S）

　　https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

　　3、更新Microsoft Office/WordPad遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2017-0199）補(bǔ)丁

　　https://technet.microsoft.com/zh-cn/office/mt465751.aspx

　　4、禁用WMI服務(wù)

　　禁用操作方法：https://zhidao.baidu.com/question/91063891.html

　　5、關(guān)閉IPC共享以及防止采用空口令和弱口令

　　關(guān)閉IPC共享和請(qǐng)及時(shí)加強(qiáng)操作系統(tǒng)口令。

　　6、做好其他常規(guī)安全工作（記者 鄒暢）