关于Petya勒索病毒有关情况的
紧急通报
6月27日23时,多家媒体报道称,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭受Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场等都不同程度的受到了影响。
发现该情况后,云南省网络与信息安全信息通报中心立即对相关情况进行了分析,现将有关情况通报如下:
此次攻击者使用的是Petya勒索病毒的变种Petwarp,该病毒采用微软OfficeRTF漏洞(CVE--)进行钓鱼攻击,利用微软WindowsSMB漏洞(MS17-,“永恒之蓝”漏洞)进行内网传播,综合采用了邮件、下载器和蠕虫的方式,首先通过邮件进行投放,之后释放下载器来获取病毒母体,形成初始扩散节点后,枚举内网中的电脑,并通过MS17-漏洞和系统弱口令进行传播。Petwarp勒索病毒和传统的勒索软件不同,不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT)使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问,让电脑无法启动。如果想要恢复,需要支付价值相当于美元的比特币。
为避免受到危害,云南省网络与信息安全信息通报中心提出以下临时处置建议:
1警惕陌生电子邮件
不要点击不明邮件中的链接或下载其附件
尤其是rtf、doc等格式的文件
2立即更新Windows操作系统补丁
修复MS17-等高危漏洞
关闭、等端口
3将电脑口令修改为
包括大小写字母、数字和特殊字符
且不少于12位的强口令
内网中存在使用相同账号、密码情况的电脑
请立即修改密码
4未开机的电脑请确认
口令修改完毕、补丁安装完成后
再进行联网操作
5天擎(企业版)、安全卫士和
腾讯电脑管家等安全软件
已可拦截查杀Petya勒索病毒
建议安装并立即将病毒库升级至最新
6对重要数据及时进行备份
云南省网络与信息安全信息通报中心
