6月27日晚上9點(diǎn)多，雷鋒網(wǎng)發(fā)現(xiàn)，歐洲遭到新一輪的未知病毒的沖擊，英國、烏克蘭、俄羅斯等都受到了不同程度的影響。據(jù)悉，該病毒和勒索軟件很類似，都是遠(yuǎn)程鎖定設(shè)備，然后索要贖金。

經(jīng)確認(rèn)，該病毒名為 Petya（后被卡巴斯基反轉(zhuǎn)，認(rèn)為應(yīng)叫“ExPetr”），釆用（CVE-2017-0199)RTF漏洞進(jìn)行釣魚攻擊，用（MS17-010)SMB漏洞進(jìn)行內(nèi)網(wǎng)傳播，都有補(bǔ)丁。?丁地址如下，

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

此外，各安全廠商也出具了應(yīng)急處理措施，以下是雷鋒網(wǎng)對(duì)部分方案的匯總：

1.360 

安全操作提示

從目前掌握的情況來看：

• 不要輕易點(diǎn)擊不明附件，尤其是rtf、doc等格式，可以安裝360天擎（企業(yè)版）和360安全衛(wèi)士（個(gè)人版）等相關(guān)安全產(chǎn)品進(jìn)行查殺。

• 及時(shí)更新windows系統(tǒng)補(bǔ)丁，具體修復(fù)方案請(qǐng)參考“永恒之藍(lán)”漏洞修復(fù)工具。

• 內(nèi)網(wǎng)中存在使用相同賬號(hào)、密碼情況的機(jī)器請(qǐng)盡快修改密碼，未開機(jī)的電腦請(qǐng)確認(rèn)口令修改完畢、補(bǔ)丁安裝完成后再進(jìn)行聯(lián)網(wǎng)操作。

360企業(yè)安全天擎團(tuán)隊(duì)開發(fā)的勒索蠕蟲漏洞修復(fù)工具，可解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復(fù)工具集成免疫、SMB服務(wù)關(guān)閉和各系統(tǒng)下MS17-010漏洞檢測與修復(fù)于一體。可在離線網(wǎng)絡(luò)環(huán)境下一鍵式修復(fù)系統(tǒng)存在的MS17-010漏洞，工具下載地址：http://b.#/other/onionwormfix

緩解措施

關(guān)閉TCP 135端口

建議在防火墻上臨時(shí)關(guān)閉TCP 135端口以抑制病毒傳播行為。

停止服務(wù)器的WMI服務(wù)

WMI（Windows Management Instrumentation Windows 管理規(guī)范）是一項(xiàng)核心的 Windows 管理技術(shù) 你可以通過如下方法停止 ：在服務(wù)頁面開啟WMI服務(wù)。在開始-運(yùn)行，輸入services.msc，進(jìn)入服務(wù)?；蛘?，在控制面板，查看方式選擇大圖標(biāo)，選擇管理工具，在管理工具中雙擊服務(wù)。

在服務(wù)頁面，按W，找到WMI服務(wù)，找到后，雙擊 ，直接點(diǎn)擊停止服務(wù)即可，如下圖所示：

2.阿里云

目前勒索者使用的郵箱已經(jīng)被關(guān)停，不建議支付贖金。

所有在IDC托管或自建機(jī)房有服務(wù)器的企業(yè)，如果采用了Windows操作系統(tǒng)，立即安裝微軟補(bǔ)丁。

對(duì)大型企業(yè)或組織機(jī)構(gòu)，面對(duì)成百上千臺(tái)機(jī)器，最好還是使用專業(yè)客戶端進(jìn)行集中管理。比如，阿里云的安騎士就提供實(shí)時(shí)預(yù)警、防御、一鍵修復(fù)等功能。

可靠的數(shù)據(jù)備份可以將勒索軟件帶來的損失最小化。建議啟用阿里云快照功能對(duì)數(shù)據(jù)進(jìn)行備份，并同時(shí)做好安全防護(hù)，避免被感染和損壞。

3.騰訊電腦管家＋騰訊云鼎實(shí)驗(yàn)室

騰訊電腦管家已緊急響應(yīng)，并已經(jīng)確認(rèn)病毒樣本通過永恒之藍(lán)漏洞傳播，開啟騰訊電腦管家可以防御petya勒索病毒，還可全面防御所有已知的變種和其他勒索病毒；此外，漏洞檢測能力也得到升級(jí)，加入了NSA武器庫的防御，可以抵御絕大部分NSA武器庫泄漏的漏洞的攻擊。

騰訊云鼎實(shí)驗(yàn)室：可以采用以下方案進(jìn)行防護(hù)和查殺——

• 騰訊云用戶請(qǐng)確保安裝和開啟云鏡主機(jī)保護(hù)系統(tǒng)，云鏡可對(duì)海量主機(jī)集中管理，進(jìn)行補(bǔ)丁修復(fù)，病毒監(jiān)測。

• 更新EternalBlue&CVE-2017-0199對(duì)應(yīng)漏洞補(bǔ)丁

• 補(bǔ)丁下載地址：
  http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

• 終端用戶使用電腦管家進(jìn)行查殺和防護(hù)

• 電腦管家已支持對(duì)EternalBlue的免疫和補(bǔ)丁修復(fù)，也支持對(duì)該病毒的查殺，可以直接開啟電腦管家進(jìn)行防護(hù)和查殺。

4.安天

影響操作系統(tǒng)：“必加”（Petya）勒索軟件影響操作系統(tǒng)：Windows XP及以上版本；

如未被感染

? 郵件防范

由于此次“必加”（Petya）勒索軟件變種首次傳播通過郵件傳播，所以應(yīng)警惕釣魚郵件。建議收到帶不明附件的郵件，請(qǐng)勿打開；收到帶不明鏈接的郵件，請(qǐng)勿點(diǎn)擊鏈接。

? 更新操作系統(tǒng)補(bǔ)?。∕S）

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

? 更新Microsoft Office/WordPad遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2017-0199）補(bǔ)丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

? 禁用WMI服務(wù)

禁用操作方法：https://zhidao.baidu.com/question/91063891.html

? 更改空口令和弱口令

如操作系統(tǒng)存在空口令或弱口令的情況，請(qǐng)及時(shí)將口令更改為高強(qiáng)度的口令。

? 免疫工具

安天開發(fā)的“魔窟”（WannaCry）免疫工具，針對(duì)此次事件免疫仍然有效。

下載地址：http://www.antiy.com/tools.html

如已被感染

? 如無重要文件，建議重新安裝系統(tǒng)，更新補(bǔ)丁、禁用WMI服務(wù)、使用免疫工具進(jìn)行免疫。

? 有重要文件被加密，如已開啟Windows自動(dòng)鏡像功能，可嘗試恢復(fù)鏡像；或等待后續(xù)可能出現(xiàn)解密工具。

5.火絨

火絨工程師建議用戶：

1)    將重要文件進(jìn)行備份。

2)    不要輕易點(diǎn)擊不明附件，尤其是rtf、doc等格式文件。

3)    安裝Windows系統(tǒng)補(bǔ)?。∕S）

下載地址：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 

4)    安裝 Microsoft Office/WordPad  遠(yuǎn)程執(zhí)行代碼漏洞（CVE -2017-0199）補(bǔ)丁 

下載地址： https://technet.microsoft.com/zh-cn/office/mt465751.aspx 

5)    禁用 WMI服務(wù)

教程： https://zhidao.baidu.com/question/91063891.html。

雷鋒網(wǎng)將繼續(xù)跟進(jìn)，敬請(qǐng)期待。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。