Petya勒索病毒

1、原理说明

2017年6月27日晚，印度、俄罗斯、西班牙以及欧洲多国遭受大规模Petya勒索病毒袭击，该病毒远程锁定设备，并索要赎金。其中乌克兰地区受灾害最为严重，政府、银行、电力系统、通讯系统、企业等都受到不同程度的影响。

此次攻击者采用早前Petya勒索病毒的变种，其传播方式和WannaCry类似，但该病毒除了使用永恒之蓝（MS17-010）漏洞之外，还罕见使用了黑客的横向渗透攻击技术。在勒索方面与WannaCry等不同之处在于，Petya木马主要通过加密硬盘驱动器主文件表（MFT），致使主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问，从而让电脑无法正常启动，故而其影响更加严重。如果想要恢复，需要支付价值相当于300美元的比特币。

由于此次攻击有很强的定向性，所以目前欧洲被感染者较多。目前国内感染量较少，但是考虑到其横向攻击的能力，未来存在较高的风险。

加密时，伪装磁盘修复：

加密后，会出现如下勒索页面：

2、危害说明

1、对系统造成严重破坏；通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问，从而让电脑无法正常启动，故而其影响更加严重；

2、支付赎金才可以恢复系统；感染勒索后，需支付价值相当于300美元的比特币，才可以解密；

3、外发攻击，存在被通报的风险；主机在感染病毒后，会进行横向扩散传播，对全网段SMB扫描和MS17-010漏洞利用攻击；当对互联网进行扩散传播时，存在被监管单位（如网信办）通报批评的风险；

4、其他异常症状，中毒主机极可能伴随着其它中毒症状，包括但不限于恶意软件、广告软件等。

3、处置建议

1、打漏洞补丁

请到微软官网下载MS17-010补丁，并安装；

下载地址：

MSRC - Microsoft Security Response Center

注意：该步骤必须要做，如果主机不打补丁，即使病毒通过杀软清理之后，仍会被二次感染。

2、隔离感染主机

已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。

3、切断感染源

关闭文件共享：控制面板>启动“Windows防火墙”>“高级选项”>“入站规则”>关闭SMB应用端口（135、137、139、445）。

4、病毒查杀

推荐使用深信服EDR工具进行分析并查杀：http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

如若主机不幸中招，也可采用一些小措施来减少损失；由于在感染Petya的过程中，病毒会先重启电脑加载恶意的磁盘主引导记录（MBR）来加密文件，这中间会启用一个伪造的加载界面。中招者如果感知到重启异常，在引导界面启动系统前关机或拔掉电源，随后可以通过设置U盘或光盘第一顺序启动PE系统，使用PE系统修复MBR或者直接转移硬盘数据，可以一定程度上避免文件的损失。