據(jù)報(bào)道，烏克蘭部分政府機(jī)構(gòu)和多家重要企業(yè)的電腦當(dāng)天都遭到了病毒攻擊，導(dǎo)致電腦死機(jī)和網(wǎng)絡(luò)癱瘓，使得這些機(jī)構(gòu)無法正常工作，多家國有和私人銀行被迫提前關(guān)門。此外，基輔國際機(jī)場、烏克蘭國家能源公司、郵政公司等大型企業(yè)以及部分媒體和移動(dòng)電話運(yùn)營商的電腦當(dāng)天也未能幸免。 

△烏克蘭的ATM機(jī)也被拖下了水。

而除了烏克蘭之外，英國、法國、丹麥、西班牙、挪威以及俄羅斯等歐洲國家的電腦用戶也報(bào)告遭到了這一病毒的攻擊。 

多家反病毒機(jī)構(gòu)的專家透露說，初步調(diào)查表明，此次攻擊來自于一種新型病毒，這種病毒在感染電腦硬盤之后，會(huì)對(duì)電腦進(jìn)行加密，使其無法使用，用戶若想獲得解密，須向其指定的電子錢包支付價(jià)值300美元的比特幣。這種攻擊手法十分類似于曾在上個(gè)月肆虐全球的勒索病毒，不過看起來比當(dāng)時(shí)的勒索病毒更加專業(yè)、也更難以對(duì)付。 

今年5月，勒索病毒感染了全球150多個(gè)國家的大約30萬臺(tái)電腦，病毒會(huì)對(duì)電腦內(nèi)的文件進(jìn)行加密，并向用戶勒索一定的比特幣作為贖金。 

Petya勒索病毒通過永恒之藍(lán)傳播，并被判定為高度風(fēng)險(xiǎn)。該病毒會(huì)加密磁盤主引導(dǎo)記錄（MBR），導(dǎo)致系統(tǒng)被鎖死無法正常啟動(dòng)，然后在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會(huì)進(jìn)一步加密文檔、視頻等磁盤文件。它的勒索金額與此前Wannacry病毒完全一致，均為折合300美元的比特幣。根據(jù)比特幣交易市場的公開數(shù)據(jù)顯示，病毒爆發(fā)最初一小時(shí)就有10筆贖金付款，其“吸金”速度完全超越了Wannacry。

根據(jù)分析結(jié)果，病毒樣本運(yùn)行之后，會(huì)枚舉內(nèi)網(wǎng)中的電腦，并嘗試在445等端口使用SMB協(xié)議進(jìn)行連接。

深入分析發(fā)現(xiàn)，病毒連接時(shí)使用的是“永恒之藍(lán)”（EternalBlue）漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用，是造成WannaCry全球快速爆發(fā)的重要原因之一，此次Petya勒索病毒也借助此漏洞達(dá)到了快速傳播的目的。

同時(shí)，病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時(shí)，病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。

電腦重啟后，會(huì)顯示一個(gè)偽裝的界面，此界面實(shí)際上是病毒顯示的，界面上假稱正在進(jìn)行磁盤掃描，實(shí)際上正在對(duì)磁盤數(shù)據(jù)進(jìn)行加密操作。

當(dāng)加密完成后，病毒才露出真正的嘴臉，要求受害者支付價(jià)值300美元的比特幣之后，才會(huì)回復(fù)解密密鑰。

這個(gè)加密流程與2016年起出現(xiàn)的Petya勒索病毒的流程相似，twitter上也有安全人員確認(rèn)了二者的相似關(guān)系。但是不同的是，之前的Petya病毒要求訪問暗網(wǎng)地址獲取解密密鑰，而此次爆發(fā)的病毒直接留下了一個(gè)Email郵箱作為聯(lián)系方式。

1.、不要輕易點(diǎn)擊不明附件，尤其是rtf、doc等格式。

2、及時(shí)更新Windows系統(tǒng)補(bǔ)丁，具體修復(fù)方案請(qǐng)參考“永恒之藍(lán)”漏洞修復(fù)工具。

3、內(nèi)網(wǎng)中存在使用相同賬號(hào)、密碼情況的機(jī)器請(qǐng)盡快修改密碼，未開機(jī)的電腦請(qǐng)確認(rèn)口令修改完畢、補(bǔ)丁安裝完成后再進(jìn)行聯(lián)網(wǎng)操作。

4、關(guān)閉TCP 135端口

建議在防火墻上臨時(shí)關(guān)閉TCP 135端口以抑制病毒傳播行為。

5、停止服務(wù)器的WMI服務(wù)

WMI（Windows Management Instrumentation Windows 管理規(guī)范）是一項(xiàng)核心的 Windows 管理技術(shù) 你可以通過如下方法停止 ：在服務(wù)頁面開啟WMI服務(wù)。在開始-運(yùn)行，輸入services.msc，進(jìn)入服務(wù)�；蛘撸�在控制面板，查看方式選擇大圖標(biāo)，選擇管理工具，在管理工具中雙擊服務(wù)。

在服務(wù)頁面，按W，找到WMI服務(wù)，找到后，雙擊 ，直接點(diǎn)擊停止服務(wù)即可，如下圖所示：

6、斷網(wǎng)備份重要文檔

如果電腦插了網(wǎng)線，則先拔掉網(wǎng)線；如果電腦通過路由器連接wifi，則先關(guān)閉路由器。隨后再將電腦中的重要文檔拷貝或移動(dòng)至安全的硬盤或U盤。

7、運(yùn)行免疫工具，修復(fù)漏洞

首先拷貝U盤或移動(dòng)硬盤里的“免疫工具”到電腦。待漏洞修復(fù)完成后，重啟電腦，就可以正常上網(wǎng)了。