永恒之蓝再次肆虐 勒索病毒变种在多国大规模爆发

　　 昨日，乌克兰等地遭受大规模勒索攻击，多国政府机构、银行、运营商、机场和企业都受到了不同程度的影响。

　　不同于传统勒索软件针对文件进行加密的行为，此次勒索攻击采用磁盘加密（早期版本只对MBR和磁盘分配表进行加密）的方式进行敲诈。

　　某安全厂商数据显示，全球目前有约2,000名用户遭到这种勒索软件的攻击。其中，俄罗斯和乌克兰的企业和组织遭受影响最为严重。此外还在波兰、意大利、英国、德国、法国、美国等国记录到相关攻击。根据比特币交易市场的公开数据显示，病毒爆发最初一小时就有10笔赎金付款。　　目前得到国内外多家安全厂商交叉确认的是，此次勒索软件的传播采用了邮件、下载器和蠕虫的组合方式，并利用了此前5月份爆发的WannaCry所使用的“永恒之蓝”漏洞。电脑在感染勒索病毒Petya的变种后，病毒会修改系统的MBR引导扇区，当电脑重启时，病毒代码会在Windows操作系统之前接管电脑，执行加密等恶意操作。

　　电脑重启后，会显示一个伪装的界面，此界面实际上是病毒显示的，界面上假称正在进行磁盘扫描，实际上正在对磁盘数据进行加密操作。当加密完成后，受害者需支付价值300美元的比特币赎金才可获得解密密钥。

　　攻击者谎称进行磁盘扫描而实则进行加密操作

　　要求支付赎金通告

　　需要特别注意的是，此次Petya的变种可以通过Windows的管理体系结构和SMB协议在企业内网进行横向移动，对内网安全具有比WannaCry更大的威胁。

　　该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放，之后释放Downloader来获取病毒母体，形成初始扩散节点，之后通过MS17-010（永恒之蓝）漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力。

　　但鉴于初始爆发地区的地缘敏感性、具备一定强度的扩散能力和所处的特殊攻击时点，红客训练营目前认为这次事件不能完全排除是单纯经济目的的恶意代码攻击事件，亦不能直接判断是针对特定地区的定向攻击。

　　此前，我国在WannaCry安全事件的应急工作中已经打下了良好基础，现阶段该病毒尚未在我国大面积传播，但其复合的传播手段仍具有较大安全风险。

　　在安全建议方面，首先此次爆发病毒直接留下了一个Email邮箱作为联系方式而不是访问某暗网地址，而攻击者邮箱已被关停，所以不建议支付赎金。

　　其次，除了及时做好数据备份和微软Windows操作系统的安全补丁更新，以及对携带可疑附件和链接的邮件谨慎处置外，对未被感染的PC，还特别建议：

　　更新操作系统补丁（MS17-010）

　　https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

　　更新Microsoft Office/WordPad远程执行代码漏洞（CVE-2017-0199）补丁

　　https://technet.microsoft.com/zh-cn/office/mt465751.aspx

　　禁用WMI服务

　　禁用操作方法：https://zhidao.baidu.com/question/91063891.html

　　更改空口令和弱口令

　　如操作系统存在空口令或弱口令的情况，请及时将口令更改为高强度的口令。