據(jù)報道，烏克蘭部分政府機構(gòu)和多家重要企業(yè)的電腦當(dāng)天都遭到了病毒攻擊，導(dǎo)致電腦死機和網(wǎng)絡(luò)癱瘓，使得這些機構(gòu)無法正常工作，多家國有和私人銀行被迫提前關(guān)門。此外，基輔國際機場、烏克蘭國家能源公司、郵政公司等大型企業(yè)以及部分媒體和移動電話運營商的電腦當(dāng)天也未能幸免。 

△烏克蘭的ATM機也被拖下了水。

而除了烏克蘭之外，英國、法國、丹麥、西班牙、挪威以及俄羅斯等歐洲國家的電腦用戶也報告遭到了這一病毒的攻擊。 

多家反病毒機構(gòu)的專家透露說，初步調(diào)查表明，此次攻擊來自于一種新型病毒，這種病毒在感染電腦硬盤之后，會對電腦進行加密，使其無法使用，用戶若想獲得解密，須向其指定的電子錢包支付價值300美元的比特幣。這種攻擊手法十分類似于曾在上個月肆虐全球的勒索病毒，不過看起來比當(dāng)時的勒索病毒更加專業(yè)、也更難以對付。 

今年5月，勒索病毒感染了全球150多個國家的大約30萬臺電腦，病毒會對電腦內(nèi)的文件進行加密，并向用戶勒索一定的比特幣作為贖金。 

Petya勒索病毒通過永恒之藍傳播，并被判定為高度風(fēng)險。該病毒會加密磁盤主引導(dǎo)記錄（MBR），導(dǎo)致系統(tǒng)被鎖死無法正常啟動，然后在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會進一步加密文檔、視頻等磁盤文件。它的勒索金額與此前Wannacry病毒完全一致，均為折合300美元的比特幣。根據(jù)比特幣交易市場的公開數(shù)據(jù)顯示，病毒爆發(fā)最初一小時就有10筆贖金付款，其“吸金”速度完全超越了Wannacry。

根據(jù)分析結(jié)果，病毒樣本運行之后，會枚舉內(nèi)網(wǎng)中的電腦，并嘗試在445等端口使用SMB協(xié)議進行連接。

深入分析發(fā)現(xiàn)，病毒連接時使用的是“永恒之藍”（EternalBlue）漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用，是造成WannaCry全球快速爆發(fā)的重要原因之一，此次Petya勒索病毒也借助此漏洞達到了快速傳播的目的。

同時，病毒會修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時，病毒代碼會在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。

電腦重啟后，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁盤掃描，實際上正在對磁盤數(shù)據(jù)進行加密操作。

當(dāng)加密完成后，病毒才露出真正的嘴臉，要求受害者支付價值300美元的比特幣之后，才會回復(fù)解密密鑰。

這個加密流程與2016年起出現(xiàn)的Petya勒索病毒的流程相似，twitter上也有安全人員確認(rèn)了二者的相似關(guān)系。但是不同的是，之前的Petya病毒要求訪問暗網(wǎng)地址獲取解密密鑰，而此次爆發(fā)的病毒直接留下了一個Email郵箱作為聯(lián)系方式。

1.、不要輕易點擊不明附件，尤其是rtf、doc等格式。

2、及時更新Windows系統(tǒng)補丁，具體修復(fù)方案請參考“永恒之藍”漏洞修復(fù)工具。

3、內(nèi)網(wǎng)中存在使用相同賬號、密碼情況的機器請盡快修改密碼，未開機的電腦請確認(rèn)口令修改完畢、補丁安裝完成后再進行聯(lián)網(wǎng)操作。

4、關(guān)閉TCP 135端口

建議在防火墻上臨時關(guān)閉TCP 135端口以抑制病毒傳播行為。

5、停止服務(wù)器的WMI服務(wù)

WMI（Windows Management Instrumentation Windows 管理規(guī)范）是一項核心的 Windows 管理技術(shù) 你可以通過如下方法停止 ：在服務(wù)頁面開啟WMI服務(wù)。在開始-運行，輸入services.msc，進入服務(wù)�；蛘撸�在控制面板，查看方式選擇大圖標(biāo)，選擇管理工具，在管理工具中雙擊服務(wù)。

在服務(wù)頁面，按W，找到WMI服務(wù)，找到后，雙擊 ，直接點擊停止服務(wù)即可，如下圖所示：

6、斷網(wǎng)備份重要文檔

如果電腦插了網(wǎng)線，則先拔掉網(wǎng)線；如果電腦通過路由器連接wifi，則先關(guān)閉路由器。隨后再將電腦中的重要文檔拷貝或移動至安全的硬盤或U盤。

7、運行免疫工具，修復(fù)漏洞

首先拷貝U盤或移動硬盤里的“免疫工具”到電腦。待漏洞修復(fù)完成后，重啟電腦，就可以正常上網(wǎng)了。