E安全6月28日讯 今年5月份,WannaCry勒索病毒因其惊人的破坏力席卷全球而登上各大媒体头条，在这次病毒事件中，WannaCry影响了150个国家1万多个组织机构。而就在昨日晚间，又一波大规模勒索蠕虫病毒攻击重新席卷全球，多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。据莫斯科的网络安全公司Group-IB透露，目前为止，仅俄罗斯和乌克兰两国就有80多家公司被Petrwrap病毒感染。

　　新一轮比特币勒索蠕虫病毒正在全球疯狂传播

　　其中受冲击最为严重的当数乌克兰国内各企业，据报道遭遇影响的包括乌克兰中央银行、国家电信、市政地铁以及位于基辅的鲍里斯波尔机场。另外，乌克兰电力供应商Ukrenego公司的系统也受到入侵——不过该公司一位发言人表示电力供应并未受到攻击活动的影响。根据相关报道，包括销售终端机(即POS机)与ATM在内的各类隔离型设备同样受到勒索软件波及。

　　这款病毒在其它各国同样处于疯狂传播当中。丹麦马士基航运公司报告称其多个站点所使用的系统受到影响，其中包括该公司位于俄罗斯的Damco后勤部门。此病毒还入侵了俄罗斯石油企业Rosneft公司的服务器，但目前尚不清楚所造成的具体损害。在美国方面，已知相关案例——律师事务所DLA Piper的多个美国办事处受到影响。

　　此次勒索病毒攻击的主角：Petrwrap/Petya

　　卡巴斯基实验室的一位研究人员将此番肆虐的病毒定名为Petrwrap，并确定其属于该公司于今年3月所发现的Petya勒索软件的变种之一。通过对6月18日收集到的样本进行编译，研究人员发现该病毒在过去一段时间内一直在进行广泛的设备感染。另外，根据最近的VirusTotal扫描，61款杀毒软件当中只有16款能够成功检测到该病毒。

　　Petrwrap本身似乎属于一款非常简单的勒索软件，与其它传统勒索软件的功能存在很大区别。具体来讲，Petwrap并不会逐个对目标系统上的文件进行加密。

　　一旦完成感染，该病毒即会利用一条私钥对目标计算机进行加密，且在系统解密之前该设备将无法正常使用。

　　Petwrap会重启受害者的计算机并加密磁盘驱动器内的主文件表(简称MFT)并渲染主引导记录(简称MBR)，进而通过占用物理磁盘上的文件名、大小与位置信息以限制用户对完整系统的正常访问。其中Petwrap替换的MBR代码中包含赎金说明。

　　根据Twitter上发布的最新感染截屏内容来看，该勒索软件会显示以下文本，要求用户支付价值300美元的比特币以解密自己的系统。具体内容为：

　　“如果你看到这段文本，那么您的文件已经因为被加密而无法访问。也许你正忙于寻求恢复文件的方法，但请别浪费自己的时间，没人能在我们不提供解密服务的情况下恢复你的文件。”

　　已有27人向Petrwrap攻击者支付赎金

　　在受感染用户支付赎金后，将比特币钱包与个人ID发送至指定的Posteo邮件地址进行解密。截至E安全编译本文之时(北京时间2017年6月28日01:00)，区块链记录显示目标钱包“1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX”已经完成了27笔交易售，收入2.9个比特币，总金额约人民币50000元。目前尚不清楚付款之后，受害者的系统是否已经得到成功解密。

　　此次勒索病毒攻击影响汇总： 能源 企业

　　Petwrap勒索软件已经在过去几小时内感染了俄罗斯国有石油巨头Rosneft公司以及乌克兰国家电力供应商Kyivenergo与Ukrenergo公司。

　　Kyivenergo公司新闻社确认称，“我们受到攻击，并在两小时前被迫关闭了全部计算机。我们正在等待乌克兰安全局(简称SBU)的许可以重新启动这些计算设备。”

　　银行与金融机构

　　根据各相关银行发布的报告，本次受到Petwrap勒索软件攻击影响的包括乌克兰国家银行(简称NBU)、奥沙巴银行以及其它多家企业。

　　乌克兰最大的国有贷款机构之一 ——国家储蓄银行(Oschadbank)称，部分银行服务受到“黑客攻击”影响，全国3650网点和2850 ATM受到影响，民众无法取钱，但客户数据目前尚且安全。

　　电信企业

　　Kyivstar、LifeCell以及Ukrtelecom三家乌克兰电信运营商亦在最新一轮Petwrap攻击当中受到影响。

　　其它企业

　　国际物流公司马士基已经在其Twitter上确认称，本轮最新Petwrap攻击已经导致其位于多个地点及业务部门的IT系统被迫关闭。

　　该公司指出，“我们可以确认，目前马士基公司旗下位于多个地点及业务部门的IT系统皆处于关闭状态。我们目前正在对事态进行申报。保障员工安全、正常运营以及客户业务是我们的首要职责。我们将在掌握更多信息时及时发布更新。”

　　此勒索软件还影响到在采矿企业Evraz公司乌克兰分公司下辖之多座工作站。

　　根据相关报告，在本轮攻击中受损最为严重的包括乌克兰当地地铁以及位于基辅的鲍里斯皮尔机场。

　　政府

　　根据Twitter网友晒出的截图显示，称目前乌克兰所有政府机关的电脑都因病毒攻击成黑屏状态：

　　另外，此轮勒索病毒攻击的起源仍不明朗，但乌克兰电力公司遭遇感染引发了人们对于俄罗斯方面的怀疑。乌克兰电网曾于2015年12月遭受持续性高复杂度攻击，且业界普遍认定幕后黑手为俄罗斯。该次攻击最终导致乌克兰23万名居民在长达六个小时之内无电可用。

　　乌克兰本身则选择以幽默的态度作出响应。就在本次攻击事件曝光后不久，乌克兰政府即通过其官方Twitter帐户提醒民众不要惊慌，同时还附上一张漫画表情。

　　为什么Petrwrap勒索病毒的传播速度如此之快?

　　目前，还不确定Petrwrap快速传播的原因是什么。但据反病毒公司Avira、赛门铁克和一些安全公司也在推特上发文称，这款新型勒索软件利用了与WannaCry相同的“永恒之蓝”安全漏洞，意味着其同样能够在被感染系统之间迅速传播。

　　“永恒之蓝”安全漏洞于今年4月由影子经纪人组织正式公布，主要影响Windows系统当中的SMB文件共享系统，且业界普遍认定此漏洞由美国国安局所发现并掌握。

　　微软已经在其所有Windows版本当中修复了这项底层漏洞，但仍有相当一部分未及时进行更新的用户可能受到攻击，且目前已经有多种恶意软件变种利用此项漏洞进行勒索软件传播或者加密货币采矿。

　　最后也是最令人惊讶的是，尽管WannaCry已经在世界范围内受到广泛关注且解决方案早已出炉，但目前相当一部分企业甚至是大型企业仍然没有为此采取适当的安全措施。

　　安全提示：如何保护自己免受勒索软件攻击 安装“永恒之蓝”修复补丁(MS17-010)

　　E安全建议您马上安装微软公司发布的“永恒之蓝”修复补丁(MS17-010)，E安全目前已经将部分Windows版本的独立安全更新包找到了对应的下载地址。请各位读者直接按照您自己的实际Windows版本下载对应的安全更新包安装，如果版本不对应的话安装会系统提示不适用之类。

　　面向Windows XP SP2的修复更新KB4012598：

　　64位版Windows XP Service Pack 2：x64_f24d8723f246145524b9030e4752c96430981211.exe

　　面向Windows XP SP3的修复更新KB4012598：

　　32位版Windows XP Service Pack 3：WindowsXP-KB4012598-x86-Embedded-Custom-CHS.exe

　　注：该版本确实是微软提供给SP3的但也确实发错了，众多用户遭遇到了无法正常安装的情况。

　　面向Windows Server 2003的修复更新KB4012598：

　　64位版Windows Server 2003：WindowsServer2003-KB4012598-x86-custom-CHS.exe

　　面向Windows Vista的修复更新KB4012598：

　　64位版Windows Vista：kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

　　32位版Windows Vista：kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

　　面向Windows 7的修复更新KB4012212：

　　64位版Windows 7：kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

　　32位版Windows 7：kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

　　面向Windows 8的修复更新KB4012598：

　　64位版Windows 8：kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

　　32位版Windows 8：kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

　　面向Windows 8.1的修复更新KB4012598：

　　64位版Windows 8.1：kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu

　　32位版Windows 8.1：kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

　　面向Windows 10的修复更新KB4012606：

　　64位版Windows 10：windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

　　32位版Windows 10：windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

　　面向Windows 10的Windows SMB修复更新：

　　请点击开始菜单—小齿轮(设置)—更新与安全—Windows Update—检查更新—提示无更新说明已经安装了。

　　Windows 10 Version 1703版对此漏洞免疫，因此使用该版本的用户不需要进行任何操作比如关闭端口。

　　免疫指的是已经封堵了445端口漏洞因此无需操作，如果你手抖自己运行病毒那么抱歉全部给你加密了。

　　安恒信息“永恒之蓝”勒索病毒应急包汇总：

　　链接

　　关闭SMB服务

　　E安全建议使用SMB服务的企业应开启防火墙，并为需要从外部访问内部网络网络的用户设置VPN访问。企业应详细罗列网络上的软件和设备，并提供识别并部署补丁的程序。当攻击者迅速从补丁转移到漏洞利用时，这些措施将尤为重要。

　　不要轻易打开未知邮件中的附件和链接

　　为了防止任何勒索软件感染问题，您还应以谨慎的态度对待一切通过邮件发来的不必要文件与文档，且除非确认来源正常，否则千万不要点击其中的任何链接。

　　备份!备份!备份!

　　重要的事说三遍!请始终严格保护您宝贵的数据，包括采取良好的备份措施，并将数据复制至不会始终接入您PC的外部存储设备。、

     希贝软件客服QQ：201044567       希贝软件网站：www.mp4recovery.cn