中新網(wǎng)6月29日電 Petya勒索病毒繼續(xù)在全球攻擊擴(kuò)散，最新消息顯示，連前切爾諾貝利核電廠的防控系統(tǒng)都被攻破了，科學(xué)家們不得不手動監(jiān)測輻射水平。丹麥航運(yùn)巨頭周二被病毒攻擊，病毒已擴(kuò)散到該公司管理的印度最大集裝箱港口，1/3的碼頭運(yùn)營受干擾。安全專家們似乎低估了Petya勒索病毒的危險(xiǎn)性。

　　安全專家對Petya勒索病毒的技術(shù)分析也在不斷完善，最新報(bào)告表明：即使電腦已經(jīng)安裝過Windows SMB漏洞補(bǔ)丁(永恒之藍(lán)漏洞之一)，也不能完全阻止病毒感染。Petya勒索病毒一旦侵入企業(yè)內(nèi)網(wǎng)，除了利用Windows SMB安全漏洞傳播之外，還會攻擊局域網(wǎng)的共享功能，利用自帶的黑客工具讀取中毒電腦登錄令牌，嘗試連接其他遠(yuǎn)程計(jì)算機(jī)，復(fù)制并運(yùn)行病毒程序。

　　基于這種情況，顯然，僅建議用戶安裝MS17-010補(bǔ)丁是不能解決問題的。為防止Petya勒索病毒入侵更多企業(yè)網(wǎng)絡(luò)，金山毒霸再次升級防黑墻方案：

　　該方案可以在部分電腦無法安裝或未安裝MS17-010補(bǔ)丁時(shí)，具備防御蠕蟲式攻擊的能力；同時(shí)，可定位攻擊源IP地址，指導(dǎo)網(wǎng)管解決已中毒的電腦；該方案是基于病毒蠕蟲式的攻擊行為作防御，因而，即使出現(xiàn)新的變種，利用同樣的方式在局域網(wǎng)內(nèi)擴(kuò)散時(shí)，同樣可以攔截。

　　金山毒霸防黑墻發(fā)現(xiàn)局域網(wǎng)內(nèi)攻擊源

　　攔截攻擊演示視頻：http://t.cn/RoYPh0H

　　另外，病毒在企業(yè)內(nèi)網(wǎng)會攻擊WMI服務(wù)，以及釋放PeExec連接遠(yuǎn)程計(jì)算機(jī)。建議關(guān)閉系統(tǒng)WMI服務(wù)和關(guān)閉admin$共享來降低內(nèi)網(wǎng)入侵風(fēng)險(xiǎn)。

　　關(guān)閉WMI服務(wù)的操作步驟：運(yùn)行Services.msc，在服務(wù)列表中找到“Windows Management Instrumentation”，雙擊打開屬性，啟動類型選擇“禁用”。

　　關(guān)閉admin$共享，可以在“計(jì)算機(jī)管理”，共享文件夾，暫時(shí)停止共享admin$

　　Petya勒索病毒破壞的硬盤能否恢復(fù)數(shù)據(jù)，這也是網(wǎng)友十分關(guān)心的話題。如果系統(tǒng)已經(jīng)重啟，顯示出勒索比特幣的畫面，恢復(fù)就比較困難。上個(gè)月造成破壞的勒索蠕蟲是先加密生成一個(gè)新文件，再刪除舊文件，有文件刪除動作，給反刪除恢復(fù)數(shù)據(jù)留下機(jī)會。

　　而這次爆發(fā)的Petya勒索病毒是直接加密回寫文件，恢復(fù)文檔的難度更大。同時(shí)，Petya勒索病毒還會破壞硬盤主引導(dǎo)記錄和分區(qū)信息，會造成系統(tǒng)不能啟動，數(shù)據(jù)也會丟失。因此，及時(shí)備份企業(yè)數(shù)據(jù)異常重要。

　　那是不是只剩下支付贖金解密文件一條路了呢？答案是，這條路也不通了，因?yàn)槭芎φ咧Ц囤H金后，還需將比特幣錢包地址發(fā)送至郵箱“wowsmith123456@posteo.net”，以便病毒作者確認(rèn)受害人是否付款。但是郵箱的供應(yīng)商Posteo已將該郵箱關(guān)閉。所以即使支付了贖金，病毒作者也無法收到郵件，不知道該怎么提供解密密鑰，也就無法解密。

來源：http://www.chinanews.com/it/2017/06-29/8264736.shtml