2017年第一季度，对于网络安全界来说是一个多事之秋。上个月全球多个国家网络均受WannaCry病毒攻击的困扰，还没彻底解决该病毒时，新一轮的病毒已经悄然到来。据美联社等外媒27日报道，新一轮超强电脑病毒Petya正向多个国家迅速蔓延，包括俄罗斯、英国、乌克兰等在内的欧洲国家。有机场、银行及大型企业被报告感染病毒，导致欧洲多国的多个组织、多家企业的系统出现瘫痪。报道称，这轮病毒足以与五月席卷全球的勒索病毒WannaCry的攻击性相提并论。这一消息对于网络安全行业来说可谓是一波未平一波又起。

面对最新一轮病毒，多个国家发出应急响应。网络安全专家马上对Petya病毒进行分析研究，发现Petya敲诈者病毒和WannaCry勒索病毒类似，都是连接时使用的是“永恒之蓝”（EternalBlue）漏洞，达到了快速传播的目的。但新变异病毒Petya不仅对文件进行加密，而且直接将整个硬盘加密、锁死，在出现以下界面并瘫痪后，其同时自动向局域网内部的其它服务器及终端进行传播。黑客要求受害者支付价值300美元的比特币之后，才会回复解密密钥。

病毒感染“症状”

据相关报道，Petya一旦感染系统，会覆盖整个硬盘的MBR，使Windows崩溃并显示蓝屏，而当用户重启计算机时，已修改的MBR会阻止Windows的正常加载，而是显示一个ASCII骷髅图像和提示：支付一定数量的比特币，否则将失去文件和计算机的访问权限。

另外，修改的MBR也会禁用Safe Mode模式的重启。

接下来会显示用户操作的指导说明：一个要求的列表，Tor Project的链接，如何进入支付页面和私有解密密钥。

PETYA的解密和支付说明

通过查看其专业设计的Tor网站发现，目前赎金价格为0.99比特币（BTC）或US$431，如果错过了屏幕显示的截止日期，赎金价格将会翻倍。

防御措施

由于Petya突发事件相对较短，目前还没有最终的解决方案，但对于该病毒可进行相关的缓解措施。为此，国内信息安全服务商数安时代（GDCA）提醒：

1、补丁修复，更新操作系统

更新操作系统补丁（MS）

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

更新Microsoft Office/WordPad远程执行代码漏洞（CVE-2017-0199）补丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

2、添加邮件网关黑名单

由于此次Petya勒索软件变种首次传播通过邮件传播，所以应警惕钓鱼邮件。建议收到带不明附件的邮件，尤其是匿名邮件，尽量避免点击邮件中的链接等。

3、杀毒软件升级及监控

目前各大杀毒软件都可以防御petya勒索病毒，还可全面防御所有已知的变种和其他勒索病毒；而且杀毒软件控制台可查看报警信息，如是否有入侵事件，如针对SMB攻击（如SMB BoublePulsar ping、溢出攻击），对已感染的进行处理。

4、停止服务器的WMI服务

WMI（Windows Management Instrumentation Windows 管理规范）是一项核心的 Windows 管理技术 你可以通过如下方法停止 ：在服务页面开启WMI服务。在开始-运行，输入services.msc，进入服务。或者，在控制面板，查看方式选择大图标，选择管理工具，在管理工具中双击服务。

5、关闭TCP 135端口

在防火墙上临时关闭TCP 135端口以抑制病毒传播行为。

近年来，全球网络安全接受着各种各样的网络挑战，迫使网络安全防护不断升级。面对当下复杂的网络安全威胁趋势，目前简单的防护已经抵御不了各种快速变异的病毒。应对日益复杂多变的网络攻击，企业的安全防御系统必须进行全面的构建升级。毕竟网络安全是一件没有远虑，必有近忧的事情。