昨晚,包括俄羅斯石油巨頭,烏克蘭國家電力公司、國家銀行、地鐵、機場,歐洲銀行等多個要害部門的電腦系統遭遇Petya敲詐者病毒攻擊。中毒電腦啟動後顯示支付價值300美元比特幣的介面,無法正常登錄系統。
金山毒霸安全實驗室緊急分析後認為,Petya敲詐者病毒和WannaCry(想哭)勒索病毒類似,都利用Windows SMB高危漏洞傳播。但中國使用者勿須為此恐慌,病毒傳播利用的漏洞已可修補,金山毒霸也能攔截查殺Petya敲詐者病毒。
金山毒霸安全實驗室分析後認為,Petya敲詐者病毒的主要破壞是加密硬碟檔案配置表,改寫硬碟主引導記錄,從而導致電腦不能正常啟動。
因為MBR和檔案配置表都被損壞,此時如果使用其他系統啟動工具查看,會注意到原有的硬碟資料無法訪問,整個硬碟分區已消失。比起上個月WannaCry(想哭)勒索病毒加密所有磁片文檔的破壞來講,損失不算嚴重,受害者勿須支付比特幣。使用磁片恢復工具(比如DiskGenius)重建分區表即可完整恢復系統。
Petya敲詐者病毒破壞後的開機畫面,索要價值300美元的比特幣。
金山毒霸安全專家認為中國線民勿須在Petya敲詐者病毒到來時恐慌,原因在於:
1、永恆之藍相關漏洞的補丁,中國用戶在一個月前爆發WannaCry(想哭)勒索蠕蟲病毒時先後進行過修補。打過補丁的系統不會再次被入侵。
2、金山毒霸已內置MBR改防寫功能,任何可疑程式試圖篡改硬碟主引導記錄的行為均會被攔截。
3、Petya敲詐者病毒樣本已被截獲,金山毒霸已可查殺防禦。
但企業內網仍可能出現受害者。原因是,企業內網修補漏洞會比普通使用者慢,系統複雜,系統管理員能力參差不齊,可能仍然存在未修補漏洞的系統。從而,內網用戶仍可能遭遇Petya敲詐者病毒攻擊。
攔截惡意程式破壞硬碟引導區