WannaCry刚走Petya又来，给钱也不干，勒索病毒这是要闹哪样

6月27日，一种名为“Petya”的新型勒索病毒席卷了欧洲，Petya勒索病毒从俄罗斯、乌克兰开始，侵袭了包括西班牙、印度、法国、英国等欧洲多个国家。受侵袭各国的政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

距离上一次令全球闻之色变的WannaCry（想哭）勒索病毒席卷全球过去不到一个月，这次Petya勒索病毒来势更加凶猛。经翼发云确认，这是一种类似于WannaCry（想哭）的勒索病毒新变种，传播方式与WannaCry类似，是利用EternalBlue永恒之蓝和OFFICE OLE机制漏洞CVE-2017-0199进行传播，同时还具备局域网传播能力。

Petya勒索病毒原理

Petya勒索病毒是通过加密硬盘驱动器主文件表MFT，使硬盘主引导记录MBR不能读取不能执行，通过占用物理磁盘上的文件名，大小和位置的信息来限制对整个文件系统的访问，从而让电脑无法引导启动。换句话说，感染Petya勒索病毒的计算机，用户根本无法进入系统，无法读取硬盘文件，后果很严重。

中毒特征

在中了该病毒后，电脑将会被锁住，出现以下勒索提示信息，并要求支付300美元的比特币才能解锁。

漏洞修复

经过确认，勒索病毒是利用EternalBlue进行传播，可以采用以下方案进行防护和查杀：

1、 请确保安装和打开病毒防护系统，如小红伞、诺顿等，保证病毒库更新到最新，进行病毒实时监测和查杀。

2、翼发云已第一时间采取Petya病毒防护措施，对海量主机集中进行补丁修复，病毒监测，凡是使用翼发云OA系统、crm系统、研发管理系统的用户办公数据不受该病毒影响。

3、 安装EternalBlue和CVE-2017-0199对应漏洞补丁

补丁下载地址： 

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

当心：交付赎金也可能拿不回数据

Petya黑客收取赎金的方式是让受害者向比特币钱包交付赎金，交完钱后再发送邮件到[email protected]来确认支付成功，随后受害者才能成功收到解锁密匙。据外媒报道，德国电邮提供商Posteo直接封掉了Petya黑客收取赎金时用到的电子邮箱帐号。

Posteo公司的这一做法让很多受害者陷入了尴尬的境地，因为现在获取解锁密匙渠道被封，受害者支付了赎金可能也无法拿回自己丢失的文档了。