北京时间2017年6月27日，一款名为“Petya”的勒索病毒在全球范围内爆发，造成极大影响。针对本次攻击事件，国家信息安全漏洞库（CNNVD）进行了分析研究，情况如下：

一、网络攻击事件背景

此次爆发的“Petya”勒索病毒是2016年出现的“Petya”病毒的变种。该变种病毒感染目标主机后，会加密磁盘驱动器内的主文件表（MFT），并感染主引导记录（MBR），使得用户无法进入系统。当电脑重启时，病毒代码会在Windows操作系统之前接管电脑，执行加密等恶意操作。

“Petya”勒索病毒最初的传播与乌克兰M.E.Doc公司的一款税务会计软件MEDoc有关。病毒是通过该软件的升级程序开始感染目标主机。

据了解，目前全球受“Petya”病毒影响较为严重的国家为乌克兰，其副总理Pavlo Rozenko、国家储蓄银行（Oschadbank）、Privatbank等银行、国家邮政（UkrPoshta）、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司（KyivEnergo）均为“Petya”病毒攻击事件的受害者。其他受到此次事件波及的国家包括俄罗斯（俄罗斯石油公司（Rosneft））、西班牙、法国、英国、丹麦、印度、美国（律师事务所DLA Piper）等国家。

二、“Petya”勒索病毒的特点

（一）加密方式         

“Petya”勒索病毒对受感染主机的加密方式不同于之前爆发的“WannaCry”勒索软件。“WannaCry”是对被感染主机的所有文件进行加密，而“Petya”是主要针对磁盘驱动器的主文件表（MFT）进行加密，并通过修改主引导记录（MBR）发布勒索信息。

（二）传播方式

不同于“WannaCry”仅通过扫描的方式植入传播，“Petya”通过升级程序、文件共享以及已知漏洞等多种手段相结合的方式进行植入传播。“Petya”首先利用MEDoc软件的升级程序，执行恶意命令，入侵目标主机，之后释放Downloader来获取病毒母体，然后通过盗取登录凭证、借助文件共享渠道以及微软MS17-010（“永恒之蓝”）漏洞等方式进行传播。

三、处置建议

（一）  升级补丁，修复漏洞：

1.  “永恒之蓝”相关漏洞补丁链接：

（二）  更新配置，加强防范：

1.禁用WMI（Windows Management Instrumentation，Windows管理规范）服务；

2.及时将空口令或弱口令更改为复杂的登录口令，并对口令进行定期修改和妥善保管；

3.建议用户不要点击不可信的链接，不要查看来历不明的邮件。

参考链接：

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

本预警由CNNVD技术支撑单位——安天实验室提供支持。

CNNVD将继续跟踪上述事件的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn