全新勒索病毒恐怖爆发：ATM机都不放过(附应急指南)

本篇文章1965字，读完约5分钟

据国外媒体报道，ransomware已经卷土重来，新的变种petya已经席卷全球，甚至自动取款机也幸免于难。在中国也有病毒传播的迹象。

新ransomware彼佳正在全世界肆虐！

目前，新的ransomware petya已经在世界各地爆发，俄罗斯和乌克兰约有80家公司已经感染了petya病毒。这种病毒锁定了大量计算机，并要求用户支付300美元购买加密的数字现金来解锁。

莫斯科的一家网络安全公司Group-ib透露，许多电信运营商和零售商也受到了petya的攻击，这种病毒的传播方式与wannacry病毒非常相似。

英国媒体公司wpp的网站周二遭到攻击，其员工被告知关闭电脑，不要使用无线连接。

据消息来源称，伦敦海运集装箱区的办公楼已经关闭。该区域是wpp和奥美；；；；；；；；；马瑟)和其他世界知名的广告公司。一些wpp子公司的It系统也受到了影响。

全球最大的航运公司A.p.moller-maersk在一份声明中表示，其客户不能再使用在线预订工具，其内部系统已经关闭。马士基集团发言人表示，网络攻击影响了该公司的许多网站和部门，包括港口运营、油气生产等部门。

美国制药巨头默克制药(Merck Pharmaceuticals)也证实赢得了竞标，成为首个受害的美国公司，这表明病毒已经越过大西洋入侵美国(600558)。

乌克兰副总理罗森科？帕夫洛说，他和乌克兰政府的其他成员不能使用电脑。他还说政府的所有电脑都在播放这张被攻击的图片。屏幕显示“磁盘包含错误，需要准备”，并要求用户不要关闭它。

甚至乌克兰的自动取款机也被拖垮了。

丹麦航运公司马士基(Ap moller-maersk)表示:“我们所有业务部门的大部分IT系统都因病毒而关闭。”我们仍在不断评估形势。我们的首要任务是维护运营安全。”

什么是彼佳勒索病毒？

彼佳赎金通过永恒的蓝色传播，被判定为高风险。该病毒将加密磁盘主引导记录(mbr)，导致系统被锁定，无法正常启动，然后在计算机屏幕上显示勒索提示。如果mbr没有被成功销毁，病毒将进一步加密磁盘文件，如文件和视频。其勒索金额与之前的虚拟病毒完全相同，相当于300美元的比特币。根据比特币交易市场的公开数据，在病毒爆发的第一个小时就有10笔赎金支付，其“吸金”速度完全超过了预期。

根据分析结果，在病毒样本运行之后，它将枚举内部网中的计算机，并尝试使用smb协议在诸如445之类的端口进行连接。

深入分析发现，该病毒在连接时使用了“永恒蓝色”漏洞，并且该漏洞也在以前的万年软件中使用过，这是万年软件在世界范围内迅速爆发的重要原因之一。这一次，petya ransomware也利用这个漏洞达到了快速传播的目的。

同时，病毒会修改系统的mbr引导扇区。当计算机重新启动时，病毒代码将在windows操作系统之前接管计算机，并执行加密等恶意操作。

计算机重新启动后，会显示一个伪装的界面，这实际上是由病毒显示的。该接口假装正在扫描磁盘，但实际上是在加密磁盘数据。

加密完成后，病毒露出真面目，要求受害者在回复解密密钥前支付价值300美元的比特币。

自2016年以来，这种加密过程类似于petya ransomware的加密过程，twitter上的安全人员已经证实了他们的类似关系。然而，不同的是，以前的彼佳病毒需要访问黑暗的网络地址才能获得解密密钥，而这次爆发的病毒直接留下了一个电子邮件地址作为联系信息。

1.不要轻易点击未知的附件，尤其是rtf、doc和其他格式。

2.及时更新windows系统补丁。请参考“永恒蓝色”漏洞修复工具了解具体的修复计划。

3.在内部网中使用相同帐号和密码的机器，请尽快更改密码。对于未打开的计算机，请确认密码已更改，并且修补程序安装已完成，然后再联网。

4.关闭tcp 135端口

建议暂时关闭防火墙上的tcp 135端口，以抑制病毒传播。

5.停止服务器的wmi服务

wmi(windows management instrumentation)是一种核心的windows管理技术。您可以通过以下方式停止它:在服务页上打开wmi服务。在开始运行时，输入services.msc并输入services。或者，在控制面板中，选择查看模式的大图标，选择管理工具，然后双击管理工具中的服务。

在服务页面上，按W键查找wmi服务。找到后，双击并直接点击停止服务，如下图所示:

6.断开网络连接时备份重要文档

如果计算机已插入，请先拔下网络电缆；如果计算机通过路由器连接到wifi，请先关闭路由器。然后将电脑中的重要文件复制或移动到安全的硬盘或u盘上。

7.运行免疫工具来修复漏洞

首先，将u盘或移动硬盘上的“免疫工具”复制到计算机上。错误修复后，重启电脑，你就可以正常上网了。

来源：荆州新闻