关于“Petya”勒索病毒攻击事件的预警（2017.6.30）

日前，国家计算机病毒应急处理中心通过对互联网的监测发现一个名为“Petya”的勒索软件病毒最新变种正在全球大范围蔓延，截至目前，该病毒感染范围包括俄罗斯、乌克兰、波兰、意大利、英国、德国、印度、法国、美国、白俄罗斯在内多国政府和重要行业组织（金融、交通运输、能源等）。根据最新的感染统计情况，我国境内11个省市也有少量主机遭受感染。

我们分析发现，该勒索病毒仅感染微软Windows操作系统主机，该勒索软件进入系统后会对除Windows系统目录以外的所有目录中的DOC、PDF等65种文档、数据、程序代码等类型文件进行加密，并对磁盘主引导记录（MBR）进行加密劫持，并利用计划任务功能强制重启主机，重启后主机将无法正常进入操作系统，而是展示勒索信息，要求受害者按照勒索信息中的方式支付相当于300美金的比特币勒索金以换取解密密钥。该勒索软件采用了与今年5月爆发的“WannaCry”勒索病毒类似的网络传播方式，即通过利用“永恒之蓝”漏洞进行主动传播，一样采用AES128位与RSA2048位组合加密算法对用户文件进行加密，并且同样要求用户支付比特币形式的勒索金。

除此之外，该勒索软件还具有如下特点：

1、“Petya”的勒索信息只有英文版本；

2、“Petya”中并没有“WannaCry”采用的“控制开关”（“Kill Switch”），一旦开始运行，就会立即进行破坏；

3、“Petya”除加密文件外，还对磁盘主引导记录进行加密，造成系统无法正常启动；

4、“Petya”除了利用“永恒之蓝”漏洞进行网络传播外，还会从被感染主机的内存中获取Windows系统用户名密码，并利用这些用户名密码，结合Windows系统自带的管理工具命令行（WMIC）和远程命令执行工具“PSEXEC.exe”尝试在内网中的其他主机上远程执行命令，实现进一步传播破坏。

目前，该勒索病毒虽然对我国影响有限，但对国外多个重要信息系统造成了较大影响和损失，且其破坏能力较“WannaCry”更强，尚无解密和数据恢复方法。因此，国家计算机病毒应急处理中心建议：

1、已经感染勒索病毒的主机立即进行隔离处置，防止感染范围进一步扩大；

2、检查并确保所有Windows操作系统主机都安装了包括MS17-010补丁在内的所有安全更新补丁；

3、对重要数据和系统进行备份，并确保备份数据的安全性和可用性；

4、除非必须使用，建议关闭Windows操作系统中的Server和WMI服务；

5、对防病毒产品进行更新并开启实时防护和主动防御功能。