唯顶公司于北京时间2017年6月27日21时许关注到乌克兰银行等相关机构、政府首脑计算机遭到计算机病毒攻击的相关信息。综合各方威胁情报后，初步判断受影响最严重的国家是乌克兰（副总理Pavlo Rozenko、国家储蓄银行（Oschadbank）、Privatbank等银行、国家邮政（UkrPoshta）、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo），其他部分国家均受到不同程度的影响，包括俄罗斯（俄罗斯石油公司（Rosneft））、西班牙、法国、英国、丹麦、印度、美国（律师事务所DLA Piper）等国家。

不同于传统勒索软件加密文件的行为，“必加”（Petya）是一个采用磁盘加密方式，进行敲诈。其早期版本只对MBR和磁盘分配表进行加密，并谎称全盘加密。其目前版本是否能完成全盘加密。
 

唯顶同时提醒客户：鉴于样本会利用本机口令尝试登录其他计算机进行传播，因此进行包括口令强度在内的系统安全配置加固和及时的系统补丁策略，才可以较好的防御本病毒。安天此前就魔窟蠕虫所发布的免疫工具，对本病毒依然有效。

在汇集了多方威胁情报后，样本间直接的关系仍不明确的情况下，经过对部分关键样本文件的跟进分析发现，这次攻击是勒索病毒“必加”（Petya）的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。从推理分析来看，该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放，之后释放Downloader来获取病毒母体，形成初始扩散节点，之后通过MS17-010（永恒之蓝）漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力，对内网安全总体上比此前受到广泛关注的“魔窟”（WannaCry）有更大的威胁，而多种传播手段组合的模式必将成为勒索软件传播的常态模式。

▲ 被加密后的勒索信界面

风险防范与处置建议

影响操作系统

“必加”（Petya）勒索软件影响操作系统：Windows XP及以上版本；

如未被感染

❶ 邮件防范

由于此次“必加”（Petya）勒索软件变种首次传播通过邮件传播，所以应警惕钓鱼邮件。建议收到带不明附件的邮件，请勿打开；收到带不明链接的邮件，请勿点击链接。

❷ 更新操作系统补丁（MS）

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

❸ 更新Microsoft Office/WordPad远程执行代码漏洞（CVE-2017-0199）补丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

❹ 禁用WMI服务

禁用操作方法：https://zhidao.baidu.com/question/91063891.html

❺ 更改空口令和弱口令

如操作系统存在空口令或弱口令的情况，请及时将口令更改为高强度的口令。

如已被感染

➀ 如无重要文件，建议重新安装系统，更新补丁、禁用WMI服务、使用免疫工具进行免疫。

➁ 有重要文件被加密，如已开启Windows自动镜像功能，可尝试恢复镜像；或等待后续可能出现解密工具。

为什么Petrwrap勒索病毒的传播速度如此之快？

目前，还不确定Petrwrap快速传播的原因是什么。但据反病毒公司Avira、赛门铁克和一些安全公司也在推特上发文称，这款新型勒索软件利用了与WannaCry相同的“永恒之蓝”安全漏洞，意味着其同样能够在被感染系统之间迅速传播。

最后也是最令人惊讶的是，尽管WannaCry已经在世界范围内受到广泛关注且解决方案早已出炉，但目前相当一部分企业甚至是大型企业仍然没有为此采取适当的安全措施。