新勒索病毒国内未爆发 企业和个人仍须分别这么防范

本篇文章1851字，读完约5分钟

北京，北京，6月29日(程春雨)27日，世界上许多国家的网络遭到了比5月份爆发的恶意软件传播速度更快的彼佳恶意软件变种的攻击。目前，中国还没有大规模的攻击。腾讯反病毒实验室表示，经过后续分析，此次攻击是petya ransomware的新变种。为了防患于未然，建议国内企业的系统管理员不要随意授予用户管理员权限。

这种新软件已经席卷了许多国家，中国还没有大面积感染

北京时间2017年6月27日晚，据国外媒体报道，乌克兰、俄罗斯、印度、西班牙、法国、英国等多个欧洲国家遭到petya ransomware攻击，不同程度地影响了政府、银行、电力系统、通信系统、企业和机场。

外国计算机安全专家认为，这种病毒类似于今年5月在世界各地传播的恶意软件，但它可能更危险，更难控制。尽管专家已经找到了一种防止中毒的方法，但他们无法打开中毒的电脑。

然而，根据腾讯安全的最新披露，腾讯电脑管理器的“数据恢复u盘”的恢复路径已经成功帮助被感染用户恢复了一些文件。

腾讯电脑管家(Tencent Computer Butler)安全专家邓鑫表示，病毒爆发的源头始于乌克兰，但它不仅受到乌克兰的影响，而且不排除进一步传播的可能性；目前，在中国还没有新的大规模的病毒感染。此外，与万纳奇相比，彼佳的传播方式更加多样化，可能还有一些未被发现的传播方式。

安全机构解释新的软件攻击模式

经分析，腾讯反病毒实验室称，该病毒样本与之前受到广泛关注的万年病毒相似，并通过ms17-010(永恒蓝)漏洞传播。成功执行petya ransomware变体后，它将首先尝试利用该漏洞将自己复制到远程计算机下的c:\windows目录中。然而，由于以前的流行，制造商和用户已经采取了升级的预防措施。该品种采用了多种组合传输方法，如邮件，下载器和蠕虫病毒，以加快传播，包括wmic，psexec和其他管理工具。

新一轮超级计算机病毒正在许多欧洲国家迅速传播，包括俄罗斯、英国和乌克兰。Wmic扩展了wmi(windows management instrumentation)，它从命令行界面和批处理命令脚本为系统管理提供支持。Psexec是一个轻量级telnet替换工具，它使您能够在其他系统上执行进程，并实现与控制台应用程序相当的完全交互性。Wmic和psexec被系统管理员和it操作和维护人员广泛使用。

勒索样本释放一个临时文件*。tmp，这是一个窃取windows帐户信息(用户名和密码)的工具。黑客工具可以获取中毒计算机中存储的用户名和密码，并登录到其他系统和服务，然后将它们传输给家长。

勒索样本通过使用获得的用户名和密码登录到其他系统来枚举网络上的计算机并将其自身复制到网络计算机，并试图使用wmic命令在远程机器上启动恶意DLl。同时，勒索样本还会试图利用自己发布的psexec.exe来控制网络中的其他电脑，从而达到传播自己的目的。

其中，无论是wmic模式还是psexec模式，如果获取的用户信息不属于管理员，病毒都无法传播。

总而言之，一旦具有管理权限的域控制服务器被最新的petya变体捕获，由域控制服务器管理的计算机将面临被感染的风险。

据外国媒体报道，这一轮病毒可与5月席卷全球的盗版软件相媲美。当局建议机构和个人采取这样的预防措施

腾讯反病毒实验室向企业系统管理员提供建议:

首先，除非真的需要，否则不要随意授予用户管理员权限。二是加强域控制服务器的安全保护，更新补丁。第三，加强策略，禁止域控制管理员帐户登录终端。第四，禁止使用域控制管理员等高权限账户运行业务服务，以避免域控制账户泄露。第五，终端网络屏蔽来自不必要来源的入站445和135端口请求。

对于大多数计算机用户，国家互联网应急中心昨天提出了五条保护策略建议:

首先，不要轻易点击未知的附件，尤其是rtf、doc和其他格式的文件。第二，如果内部网中有使用相同帐号和密码的机器，请尽快更改密码。如果计算机未打开，请在启动计算机前确认密码已更改且补丁已安装。第三，更新操作系统补丁(MS)technet.microsoft/en-us/library/security/ms17-010.aspx.第四是更新微软办公/写字板远程代码执行漏洞(cve-2017-0199)的补丁technet.microsoft/zh-cn/office/mt465751.aspx。第五，禁用zhidao.baidu/question/91063891. wmi服务