• ?
    聯系我們

    廣東聯迪信息科技有限公司

    服務熱線

    網絡集成:400-899-0899

    軟件支持:400-8877-991

    咨詢熱線

    公司前臺:0756-2119588

    售前咨詢:0756-2133055

    公司地址

    珠海市香洲區興華路212號能源大廈二樓

    社會新聞
    當前位置 > 首頁 > 社會新聞

    Petya勒索病毒來襲:騰訊電腦管家發布開機指南

    類別:社會新聞發布人:聯迪發布時間:2017-06-29

    6月28日消息 WannaCry病毒剛剛平息,現在,一款名為Petya的新型勒索病毒又在世界各地傳播了。據了解,烏克蘭的國家銀行、電力公司、機場、地鐵服務和幾個組織正在受到Petya的攻擊,銀行系統等多個國家設施均遭感染導致運轉異常。

    據騰訊電腦管家的報道,中國區最早攻擊發生在2017年6月27號早上,通過郵箱附件傳播。另據烏克蘭CERT官方消息稱,郵箱附件被確認是該次病毒攻擊的傳播源頭。

    (烏克蘭CERT官方消息確認郵箱附件為此次病毒攻擊的傳播源)

    據了解,這是一種類似于“WannaCry”的勒索病毒新變種,傳播方式與“WannaCry”類似,其利用EternalBlue(永恒之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進行傳播,同時還具備局域網傳播手法。

    據騰訊安全反病毒實驗室研究發現,病毒樣本運行之后,會枚舉內網中的電腦,并嘗試在135、139、445等端口使用SMB協議進行連接。同時,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows操作系統之前接管電腦,執行加密等惡意操作。

    電腦重啟后,會顯示一個偽裝的界面,假稱正在進行磁盤掃描,實際上正在對磁盤數據進行加密操作。加密完成后,病毒才露出真正的嘴臉,要求受害者支付贖金。

    針對已經中招Petya勒索病毒的用戶,騰訊電腦管家提醒可以通過WinPE進入系統,有很高幾率恢復部分文件。騰訊電腦管家用戶也可以通過下載“勒索病毒離線版免疫工具”進行防御等。

    二是,斷網備份重要文檔。如果電腦插了網線,則先拔掉網線;如果電腦通過路由器連接wifi,則先關閉路由器。隨后再將電腦中的重要文檔拷貝或移動至安全的硬盤或U盤。

    此外,針對管理員用戶,騰訊電腦管家建議如下:

    一是,禁止接入層交換機PC網段之間135、139、445三個端口訪問。

    二是,要求所有員工按照上述修復漏洞。

    三是,使用“管理員助手”確認員工電腦漏洞是否修復。

    此外,騰訊安全云鼎實驗室分析發現,病毒采用多種感染方式,其中通過郵件投毒的方式有定向攻擊的特性,在目標中毒后會在內網橫向滲透,通過下載更多載體進行內網探測。

    網絡管理員可通過,監測相關域名/IP,攔截病毒下載,統計內網感染分布:

    84.200.16.242

    111.90.139.247

    185.165.29.78

    111.90.139.247

    95.141.115.108

    COFFEINOFFICE.XYZ

    french-cooking.com

    網絡管理員可通過如下關鍵HASH排查內網感染情況:

    415fe69bf32634ca98fa07633f4118e1

    0487382a4daf8eb9660f1c67e30f8b25

    a1d5895f85751dfe67d19cccb51b051a

    71b6a493388e7d0b40c83ce903bc6b04

    ?
    客服1 客服2 188金宝博比分直播
    {ganrao}