跑跑狗论坛993994

據騰訊電腦管家的報道，中國區最早攻擊發生在2017年6月27号早上，通過郵箱附件傳播。另據烏克蘭CERT官方消息稱，郵箱附件被确認是該次病毒攻擊的傳播源頭。

（烏克蘭CERT官方消息确認郵箱附件為此次病毒攻擊的傳播源）

據了解，這是一種類似于“WannaCry”的勒索病毒新變種，傳播方式與“WannaCry”類似，其利用EternalBlue（永恒之藍）和OFFICE OLE機制漏洞（CVE-2017-0199）進行傳播，同時還具備局域網傳播手法。

據騰訊安全反病毒實驗室研究發現，病毒樣本運行之後，會枚舉内網中的電腦，并嘗試在135、139、445等端口使用SMB協議進行連接。同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

電腦重啟後，會顯示一個僞裝的界面，假稱正在進行磁盤掃描，實際上正在對磁盤數據進行加密操作。加密完成後，病毒才露出真正的嘴臉，要求受害者支付贖金。

針對已經中招Petya勒索病毒的用戶，騰訊電腦管家提醒可以通過WinPE進入系統，有很高幾率恢複部分文件。騰訊電腦管家用戶也可以通過下載“勒索病毒離線版免疫工具”進行防禦等。

二是，斷網備份重要文檔。如果電腦插了網線，則先拔掉網線；如果電腦通過路由器連接wifi，則先關閉路由器。随後再将電腦中的重要文檔拷貝或移動至安全的硬盤或U盤。

此外，針對管理員用戶，騰訊電腦管家建議如下：

一是，禁止接入層交換機PC網段之間135、139、445三個端口訪問。

二是，要求所有員工按照上述修複漏洞。

三是，使用“管理員助手”确認員工電腦漏洞是否修複。

此外，騰訊安全雲鼎實驗室分析發現，病毒采用多種感染方式，其中通過郵件投毒的方式有定向攻擊的特性，在目标中毒後會在内網橫向滲透，通過下載更多載體進行内網探測。

網絡管理員可通過，監測相關域名/IP，攔截病毒下載，統計内網感染分布：

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

french-cooking.com

網絡管理員可通過如下關鍵HASH排查内網感染情況：

415fe69bf32634ca98fa07633f4118e1

0487382a4daf8eb9660f1c67e30f8b25

a1d5895f85751dfe67d19cccb51b051a

71b6a493388e7d0b40c83ce903bc6b04