中新網(wǎng)6月29日電 Petya勒索病毒繼續(xù)在全球攻擊擴散，最新消息顯示，連前切爾諾貝利核電廠的防控系統(tǒng)都被攻破了，科學家們不得不手動監(jiān)測輻射水平。丹麥航運巨頭周二被病毒攻擊，病毒已擴散到該公司管理的印度最大集裝箱港口，1/3的碼頭運營受干擾。安全專家們似乎低估了Petya勒索病毒的危險性。

　　安全專家對Petya勒索病毒的技術(shù)分析也在不斷完善，最新報告表明：即使電腦已經(jīng)安裝過Windows SMB漏洞補丁(永恒之藍漏洞之一)，也不能完全阻止病毒感染。Petya勒索病毒一旦侵入企業(yè)內(nèi)網(wǎng)，除了利用Windows SMB安全漏洞傳播之外，還會攻擊局域網(wǎng)的共享功能，利用自帶的黑客工具讀取中毒電腦登錄令牌，嘗試連接其他遠程計算機，復制并運行病毒程序。

　　基于這種情況，顯然，僅建議用戶安裝MS17-010補丁是不能解決問題的。為防止Petya勒索病毒入侵更多企業(yè)網(wǎng)絡，金山毒霸再次升級防黑墻方案：

　　該方案可以在部分電腦無法安裝或未安裝MS17-010補丁時，具備防御蠕蟲式攻擊的能力；同時，可定位攻擊源IP地址，指導網(wǎng)管解決已中毒的電腦；該方案是基于病毒蠕蟲式的攻擊行為作防御，因而，即使出現(xiàn)新的變種，利用同樣的方式在局域網(wǎng)內(nèi)擴散時，同樣可以攔截。

　　金山毒霸防黑墻發(fā)現(xiàn)局域網(wǎng)內(nèi)攻擊源

　　攔截攻擊演示視頻：http://t.cn/RoYPh0H

　　另外，病毒在企業(yè)內(nèi)網(wǎng)會攻擊WMI服務，以及釋放PeExec連接遠程計算機。建議關(guān)閉系統(tǒng)WMI服務和關(guān)閉admin$共享來降低內(nèi)網(wǎng)入侵風險。

　　關(guān)閉WMI服務的操作步驟：運行Services.msc，在服務列表中找到“Windows Management Instrumentation”，雙擊打開屬性，啟動類型選擇“禁用”。

　　關(guān)閉admin$共享，可以在“計算機管理”，共享文件夾，暫時停止共享admin$

　　Petya勒索病毒破壞的硬盤能否恢復數(shù)據(jù)，這也是網(wǎng)友十分關(guān)心的話題。如果系統(tǒng)已經(jīng)重啟，顯示出勒索比特幣的畫面，恢復就比較困難。上個月造成破壞的勒索蠕蟲是先加密生成一個新文件，再刪除舊文件，有文件刪除動作，給反刪除恢復數(shù)據(jù)留下機會。

　　而這次爆發(fā)的Petya勒索病毒是直接加密回寫文件，恢復文檔的難度更大。同時，Petya勒索病毒還會破壞硬盤主引導記錄和分區(qū)信息，會造成系統(tǒng)不能啟動，數(shù)據(jù)也會丟失。因此，及時備份企業(yè)數(shù)據(jù)異常重要。

　　那是不是只剩下支付贖金解密文件一條路了呢？答案是，這條路也不通了，因為受害者支付贖金后，還需將比特幣錢包地址發(fā)送至郵箱“wowsmith123456@posteo.net”，以便病毒作者確認受害人是否付款。但是郵箱的供應商Posteo已將該郵箱關(guān)閉。所以即使支付了贖金，病毒作者也無法收到郵件，不知道該怎么提供解密密鑰，也就無法解密。

來源：http://www.chinanews.com/it/2017/06-29/8264736.shtml