6月27日，一種名為“Petya”的新型勒索病毒席卷了歐洲，Petya勒索病毒從俄羅斯、烏克蘭開始，侵襲了包括西班牙、印度、法國、英國等歐洲多個國家。受侵襲各國的政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機場都不同程度的受到了影響。

距離上一次令全球聞之色變的WannaCry（想哭）勒索病毒席卷全球過去不到一個月，這次Petya勒索病毒來勢更加兇猛。經(jīng)翼發(fā)云確認，這是一種類似于WannaCry（想哭）的勒索病毒新變種，傳播方式與WannaCry類似，是利用EternalBlue永恒之藍和OFFICE OLE機制漏洞CVE-2017-0199進行傳播，同時還具備局域網(wǎng)傳播能力。

Petya勒索病毒原理

Petya勒索病毒是通過加密硬盤驅(qū)動器主文件表MFT，使硬盤主引導記錄MBR不能讀取不能執(zhí)行，通過占用物理磁盤上的文件名，大小和位置的信息來限制對整個文件系統(tǒng)的訪問，從而讓電腦無法引導啟動。換句話說，感染Petya勒索病毒的計算機，用戶根本無法進入系統(tǒng)，無法讀取硬盤文件，后果很嚴重。

中毒特征

在中了該病毒后，電腦將會被鎖住，出現(xiàn)以下勒索提示信息，并要求支付300美元的比特幣才能解鎖。

漏洞修復

經(jīng)過確認，勒索病毒是利用EternalBlue進行傳播，可以采用以下方案進行防護和查殺：

1、 請確保安裝和打開病毒防護系統(tǒng)，如小紅傘、諾頓等，保證病毒庫更新到最新，進行病毒實時監(jiān)測和查殺。

2、翼發(fā)云已第一時間采取Petya病毒防護措施，對海量主機集中進行補丁修復，病毒監(jiān)測，凡是使用翼發(fā)云OA系統(tǒng)、crm系統(tǒng)、研發(fā)管理系統(tǒng)的用戶辦公數(shù)據(jù)不受該病毒影響。

3、 安裝EternalBlue和CVE-2017-0199對應漏洞補丁

補丁下載地址：?

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

當心：交付贖金也可能拿不回數(shù)據(jù)

Petya黑客收取贖金的方式是讓受害者向比特幣錢包交付贖金，交完錢后再發(fā)送郵件到wowsmith123456@posteo.net來確認支付成功，隨后受害者才能成功收到解鎖密匙。據(jù)外媒報道，德國電郵提供商Posteo直接封掉了Petya黑客收取贖金時用到的電子郵箱帳號。

Posteo公司的這一做法讓很多受害者陷入了尷尬的境地，因為現(xiàn)在獲取解鎖密匙渠道被封，受害者支付了贖金可能也無法拿回自己丟失的文檔了。