昨日晚间，一款名为“Petya”的新型变种勒索病毒席卷了欧洲，乌克兰、俄罗斯等国家均受影响，多家银行和公司，包括政府大楼的主机纷纷中招，无奈之下，多个重要信息系统的主机之后被关闭，使得部分服务被迫中断。据安全公司知道创宇获悉，我国国内也有企业感染了这一新型勒索病毒，可能的数量甚至达到了数以万计。

新勒索病毒传播机制更完善

“Petya”勒索病毒一旦被激活，将对用户主机硬盘生成新的主引导记录（MBR），随后添加定时重启任务，对磁盘进行加密，并试图进一步感染内网主机，定时任务重启过后系统将加载至勒索页面，使用户完全无法对主机进行任何操作。勒索信息显示，用户需向对方支付价值300美金的比特币。

勒索页面

“Petya”与上个月爆发的“WannaCry”类似，但又有不同之处，据知道创宇安全研究人员披露，此次爆发的“Petya”要更为复杂，其特点主要是采用了多种手段结合的方式实现入侵传播，而入侵的主要手段猜测是利用了Word的漏洞（CVE-2017-0199）进行摆渡，但具体样本需要进一步确认。

样本分析显示具有内网扩散性

同时“Petya”在内网传播上结合了更多的传播手段和技巧，其中“WannaCry”所利用的永恒之蓝漏洞（MS17-010）也被这次变种所利用，并且为了实现更大面积的扩散，样本分析发现该勒索病毒还调用了类似mimikatz黑客渗透工具以获取感染机器的用户及口令，从而进一步对内网进行渗透，如内网采用的是通用口令，其目的将会实现。

内网安全需进一步提高

从这次勒索病毒的特点来看，多种方式的结合攻击将是今后勒索攻击方式的趋势，甚至是基于APT手段攻击发起，再结合内网渗透与传统蠕虫手段进行进一步传播，这也导致了内网及隔离网络的被攻击可能性越来越大，内网的安全有必要上升到一个新的高度才能够应对防范。

好的一方面是，虽然这次病毒不排除大规模传播的可能性，但是刚刚经过了“WannaCry”的洗礼后，国内很多的单位在安全方面都有所加强，包括升级修复补丁，不过根据国外（乌克兰等）的情况来看，还是有不少内网隔离网络没有及时修复及防御漏洞，另外就算是及时安装了最新补丁，在安全意识上也还需要不断加强，如注意防范弱口令攻击等，因为在实际的渗透工作中弱口令传播是非常常见的。

如何开启应对防范措施？

最关键的，我们最先要做的就是最快速度的为系统打上补丁，这次勒索事件可能主要涉及这两个漏洞MS17-010，CVE-2017-0199，一个是微软系统漏洞，一个是微软办公软件Word的漏洞，其补丁下载地址如下：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

https://portal.msrc.microsoft.com/en-US/eula

有几点安全建议：

1、如果一定要用Windows系统的话，个人用户抛弃你的XP系统，服务器端请启用Server 2003以上版本；

2、开启自动更新，时刻保持系统安全性；

3、对任何邮件保持警惕性，不要轻易运行未知来源的任何附件；

4、再说一遍，重要数据做好日常备份，企业做好容灾机制；

5、针对此次勒索事件，请关闭主机的IPC共享、及禁用WMI服务。