近日�����,代號為Petya的新一輪勒索病毒襲擊了俄羅斯��、英國�����、烏克蘭等多個國家���,機場、銀行及大型企業(yè)被報告感染病毒��,目前中國國內(nèi)也已有用戶中招。據(jù)報道����,本輪病毒比之前的WannaCry勒索病毒更專業(yè)�����、更難對付�����。
病毒加密硬盤�����,勒索比特幣
新勒索病毒Petya不僅對文件進行加密���,而且直接將整個硬盤加密�、鎖死�,在出現(xiàn)以下界面并癱瘓后,其會自動向局域網(wǎng)內(nèi)部的其它服務器及終端進行傳播��。
同時����,用戶的電腦開機后則會黑屏�����,并顯示勒索信��。信中稱����,用戶想要解鎖�,需要向黑客的賬戶轉折合300美元的比特幣。
與之前病毒相比����,威脅升級
專家稱,這種攻擊手法十分類似于曾在上個月肆虐全球的勒索病毒���,不過看起來比當時的勒索病毒更加專業(yè)��、也更難以對付��。
①Petya勒索病毒變種的傳播速度更快��。在歐洲國家重災區(qū)���,新病毒變種的傳播速度達到每10分鐘感染5000余臺電腦����,多家運營商��、石油公司����、零售商����、機場、ATM機等企業(yè)和公共設施已大量淪陷�����,甚至烏克蘭副總理的電腦也遭到感染���。
② 感染并加密本地文件的病毒進行了更新����,殺毒軟件除非升級至最新版病毒庫��,否則無法查殺及阻止其加密本機文件系統(tǒng);
③ Petya綜合利用了“5.12WannaCry”及“6.23勒索病毒新變種”所利用的所有Windows系統(tǒng)漏洞����,包括MS17-010(5.12WannaCry永恒之藍勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補丁對應的多個系統(tǒng)漏洞進行傳播。
④Petya直接將整個硬盤加密和鎖死��,用戶重啟后直接進入勒索界面����,若不支付比特幣將無法進入系統(tǒng)。
防止感染��,立刻這樣設置電腦
1. 不要輕易點擊不明附件��,尤其是rtf�、doc等格式文件。
2. 內(nèi)網(wǎng)中存在使用相同賬號�����、密碼情況的機器請盡快修改密碼����,未開機的電腦請確認口令修改完畢、補丁安裝完成后再進行開機操作����。
3. 更新操作系統(tǒng)補?����。∕S)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4. 更新 Microsoft Office/WordPad 遠程執(zhí)行代碼漏洞(CVE -2017-0199)補丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
5. 禁用 WMI服務
https://zhidao.baidu.com/question/91063891.html
WMI(Windows Management Instrumentation Windows 管理規(guī)范)是一項核心的Windows管理技術���,你可以通過如下方法停止:
① 在服務頁面開啟WMI服務。在開始-運行���,輸入services.msc,進入服務��。
或者�����,在控制面板�����,查看方式選擇大圖標�����,選擇管理工具,在管理工具中雙擊服務��。
② 在服務頁面�����,按W�����,找到WMI服務�,找到后,雙擊 ���,直接點擊停止服務即可�����。
6.更新殺毒軟件
目前����,市面上主流的殺毒軟件與電腦保護軟件均有插件或程序����,可以絕大程度上保護電腦不受新型勒索病毒感染��。
用戶只需在軟件內(nèi)搜索Petya���,或到其官網(wǎng)搜索修復工具即可。
7.提高用戶安全意識
① 限制管理員權限
Petya勒索病毒的運行需要管理員權限�����,企業(yè)網(wǎng)管可以通過嚴格審查限制管理員權限的方式減少攻擊面��,個人用戶可以考慮使用非管理員權限的普通賬號登陸進行日常操作���。
② 關閉系統(tǒng)崩潰重啟
Petya勒索病毒的“發(fā)病”需要系統(tǒng)重啟,因此想辦法避免系統(tǒng)重啟也能有效防御Petya并爭取漏洞修補或者文件搶救時間�����。只要系統(tǒng)不重新啟動引導���,病毒就沒有機會加密MFT主文件分區(qū)表���,用戶就有機會備份磁盤中的文件(微軟官方教程)。
③ 備份重要數(shù)據(jù)
重要文件進行本地磁盤冷存儲備份,以及云存儲備份�。
(來源:央視新聞綜合自經(jīng)濟日報、央視財經(jīng))
