Petya0627 勒索病毒.PDFVIP

Petya0627 勒索病毒安全预警通告第三次更新 Petya0627 勒索病毒 安全预警通告 第三次更新 2017 年 06 月 28 日 Petya0627 勒索病毒安全预警通告第三次更新 目录 第1 章 安全通告3 第2 章 事件信息4 2.1 事件描述4 2.2 风险等级4 2.3 影响范围4 第3 章 处置建议6 3.1 安全操作提示6 3.2 防护工具6 3.3 修复工具7 3.4 缓解措施8 第4 章 技术分析10 4.1 PETYA0627 样本分析 10 4.1.1 样本文件列表10 4.1.2 病毒功能分析10 第 2 页 共 23 页 Petya0627 勒索病毒安全预警通告第三次更新 第1章 安全通告 尊敬的客户： 北京时间2017 年6 月27 日晚，据外媒消息，乌克兰、俄罗斯、印度、西班 牙、法国、英国以及欧洲多国正在遭遇Petya0627 勒索病毒袭击，政府、银行、 电力系统、通讯系统、企业以及机场都不同程度的受到了影响。 此次黑客使用的是 Petya0627 勒索病毒的变种 Petwarp ，使用的漏洞和 WannaCry 相同，同时还具备其他网络感染手段。由于该病毒是定向投递，所以 欧洲感染较多。目前国内感染量较少，但是考虑到其定向性，未来存在较高风险 在国内传播。360 天擎（企业版）和360 安全卫士（个人版）可以查杀该病毒。 据悉，该病毒和普通勒索软件很类似，都是远程锁定设备，然后索要赎金。 该样本在攻击时不仅使用了永恒之蓝勒索漏洞，还会获取系统用户名与密码进行 内网传播。 360 安全监测与响应中心也将持续关注该事件进展，并第一时间为您更新该 漏洞信息。 第 3 页 共 23 页 Petya0627 勒索病毒安全预警通告第三次更新 第2章 事件信息 2.1 事件描述 Petya0627 和传统的勒索软件不同，不会对电脑中的每个文件都进行加密， 而是通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作， 通过占用物理磁盘上的文件名，大小和位置的信息来限制对完整系统的访问，从 而让电脑无法启动。如果想要恢复，需要支付价值相当于300 美元的比特币。 被感染的机器屏幕会显示如下的告知付赎金的界面： 2.2 风险等级 360 安全监测与响应中心风险评级为：危急 2.3 影响范围 由于本次Petya0627 勒索病毒传播使用永恒之蓝漏洞，受永恒之蓝漏洞影响 的系统均在该病毒威胁范围之内。使用开源（OpenVAS ）或商业漏洞扫描工具检 第 4 页 共 23 页 Petya0627 勒索病毒安全预警通告第三次更新 查内网，发现所有开放445 SMB 服务端口的被认定存在漏洞终端和服务器，对于 Win7 及以上版本的系统确认是否安装了MS17-010 补丁，如没有安装则受威胁影 响；Win7 以下的Windows XP/2003 如果没有安装KB4012598 补丁，则也受漏洞 的影响。 第 5 页 共 23 页 P