北京时间2017年6月27日晚，据国外社交媒体消息，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭受Petya勒索病毒袭击，导致政府机构、机场、银行、电力系统、通讯系统以及多家大型工业企业部分计算机系统主机无法正常引导开机，严重影响了国家多个正常业务的运转；同时6月27日晚间，国内部分外企也确认有发现感染同样的勒索病毒。

根据国内知名安全公司提供的信息，该病毒为去年出现的新型勒索Petya的变种，Windows主机感染该病毒后，不会对电脑中的每个文件都进行加密，而是通过加密硬盘驱动器主文件表（MFT），使整个硬盘的主引导记录MBR被覆盖而不可操作，导致系统崩溃蓝屏，当用户重启计算机时，修改后的MBR会阻止Windows正常加载，而显示攻击者的勒索信息，在支付赎金获得解密秘钥前，用户将无法正常启动主机，从而失去文件和计算机的访问权限。

该Petya变种病毒还具备蠕虫传播特征，目前有证据表明其蠕虫功能利用了永恒之蓝（EternalBlue）漏洞，同时结合今年4月份曝出的Office 0day漏洞（CVE-2017-0199），通过恶意RTF文件进行钓鱼攻击，其可能还会通过多种应用弱口令进行自动化攻击，例如：RDP、WEB中间件、数据库等。

此次病毒攻击有几点需要注意：

1.这次病毒攻击定向性比较高，目前看到国内企业也有中招，但是也都是跨境企业在欧洲的业务，由于是定向投递，所以欧洲感染较多，目前国内感染量还较少，但是考虑到定向性，未来存在较高风险在国内传播。

2.此次病毒攻击的漏洞除了利用MS17-010漏洞，还会使用感染终端的用户名密码尝试登陆其他终端进行感染。

针对此次病毒攻击，国内安全公司提出了临时防护方案：

1.及时更新终端安全防护软件及Windows安全补丁，重点检查MS17-010补丁安装情况。

2.尽量避免打开未知邮件中的链接或附件，尤其是RTF、DOC等格式文件，谨慎从网络下载各类可执行程序。

3.内网中存在使用相同账号、密码情况的机器应尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安全完成后再进行联网操作。

4.建议关闭TCP135端口以抑制病毒传播行为。

5.可停止服务器的WMI服务。

网络管理中心

2017.6.28