“Petya”事件来了，不要怕

一、事件概述

6月27日，一场空前规模的网络攻击席卷乌克兰。一种新的勒索病毒在乌克兰境内爆发，并且感染速度就像坐上了火箭，在极短的时间内，从乌克兰快速蔓延到了俄罗斯、印度、西班牙、法国、英国以及欧洲等多个国家和地区。

更可怕的是，被勒索病毒感染的用户正在以指数形式增加。我们无从知道病毒是从什么地方开始的，又是如何感染其他计算机的。

此次勒索病毒的攻击目标瞄准国家的基础建设。电力系统，石油系统，通讯系统等基础建设直接停摆，甚至该勒索病毒影响到了核电站现场的辐射监测系统。

据Interfax的报道，造成此次攻击的病毒与之间攻击俄罗斯石油公司Rosneft的是同一种被称为“Petya”的病毒。这种病毒感染计算机的方式与今年五月在全球引起轩然大波的WannaCry勒索病毒相同。勒索蠕虫疯狂传播的原因是借助了前不久泄露的Equation Group（方程式组织）的“EternalBlue（永恒之蓝）”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞，该漏洞可影响主流的绝大部分Windows操作系统版本。

二、事件分析

2.1影响范围

MS17-010、CVE-2017-0199漏洞主要影响以下操作系统：Windows2000，Windows 2003，Windows XP，Windows Vista，Windows7，Windows8，Windows10，Windows2008，Windows2012。

由于EternalBlue的利用代码主要针对WindowsXP以及Windows7，2008，因此此次事件对于Windows XP、Windows 7，Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445、139端口且没有安装MS17-010、CVE-2017-0199补丁的机器则确认会受到影响。

注：以下设备不受影响

安卓手机，iOS设备，MacOS设备，*nix设备、Win10 用户如果已经开启自动更新不受影响。

2.2影响效果

当系统被该勒索软件入侵后，会显示如下界面：

一旦被病毒感染，想恢复，需要支付价值相当于1800人民币的比特币：

该勒索软件属于勒索蠕虫型病毒，其利用了MS17-010和CVE-2017-0199漏洞进行传播，一旦某台电脑中招，相邻的存在漏洞的网络主机都会被其主动攻击，整个网络都可能被感染该蠕虫病毒，受害感染主机数据最终将呈几何性增长。

三、解决方案

3.1 终端自查应急方案

确认电脑是否中招

上班开电脑之前，现将自己使用的所有电脑隔离网络（拔掉网线），再开机。

准备好本次终端自查所需要的文件。

文件可以从：https://pan.baidu.com/s/1qYLhNNQ按照需要下载

根据现有案例发现该病毒会导致三种情况

1. 蓝屏重启。

2. 已被勒索

3. 已中招但还没有运行勒索软件的，该范围内的主机比例巨大。

方式一：针对第三种，可使用netstat –ano 查看主机端口进程列表如下可确认已被植入病毒：CMD命令行下查看445服务端口开启状态方法：

正常情况：

非正常情况：

可以看到本机发送SYN连接至大量服务器的445端口可确认中招。

方式二：使用各个网络安全厂商的勒索病毒专杀工具：

3.1.1 未检测到病毒的windows系统主机处置

1.在经过上个月WannaCry勒索病毒应急工作中打下了良好基础，该病毒目前尚未在我国大面积传播。受影响用户请在这段时间抓紧时间更新漏洞补丁。

（CVE-2017-0199) RTF漏洞补丁地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

S17-010（永恒之蓝）SMB漏洞补丁地址：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2、提防钓鱼邮件，遇到携带不明附件和不明链接的邮件请勿点击。

3、临时解决方案，禁止使用smb服务的139、445等危险端口，禁用方法，见本文第四章。

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

4、针对上个月WannaCry开发免疫工具，对于本次事件局域网传播阻断依然有效。下载地址：

http://sec.sangfor.com.cn/download?file=WannaCryTool.zip      

              

3.1.2  蓝屏重启的windows主机处置

蓝屏重启是由于被网络内某主机持续执行MS17-010攻击导致。隔离网络后可正常启动，然后更新MS17-010补丁或添加添加阻止所有到本地的135、137、138、139、445端口的入站规则。      

具体操作请参阅3.1.1章节未检测到病毒的windows系统主机处置。

四、 终端侧防护操作指导手册

4.1  利用本地防火墙阻挡防护

4.1.1  Win7、Win8、Win10的处理流程

 1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

2、选择启动防火墙，并点击确定

3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，下一步

6、特定本地端口，输入445，139，下一步

7、选择阻止连接，下一步

8、配置文件，全选，下一步

9、名称，可以任意输入，完成即可。

4.1.2XP系统的处理流程

依次打开控制面板，安全中心，Windows防火墙，选择启用。

点击开始，运行，输入cmd，确定执行下面三条命令。

4.2  添加防火墙策略入站出站防护规则（CMD）

如通过CMD添加本地防火墙策略示例如下：

添加策略命令如下：

出站规则：

禁用本地所有端口对外的135，137,138,139,445（tcp）

netsh advfirewall firewall add rulename="disable-TCP135，137,138,139,445"protocol=TCP dir=out remoteport=135，137,138,139,445 action=block

禁用本地所有端口对外的135，137,138,139,445（udp）

netsh advfirewall firewall add rulename="disable-UDP135，137,138,139,445"protocol=UDP dir=out remoteport=135，137,138,139,445 action=block

入站规则：

启用远程RDP服务允许（如需要）

netsh advfirewall firewall add rulename="rdp3389" protocol=TCP dir=in localport=3389（改为当前RDP端口） action=allow

禁用本地135，137,138,139,445对外的所有端口（tcp）

netsh advfirewall firewall add rulename="disable-TCP135，137,138,139,445"protocol=TCP dir=in localport=135，137,138,139,445action=block

禁用本地135，137,138,139,445对外的所有端口（udp）

netsh advfirewall firewall add rulename="disable-UDP135，137,138,139,445"protocol=UDP dir=in localport=135，137,138,139,445 action=block

启用防火墙：net start mpssvc

声明

万雍科技拥有对此解决方案的修改和解释权。未经万雍科技允许，不得任意修改或者增减此解决方案内容，不得以任何方式将其用于商业目的。

互联创新  智雍未来    

   长按识别二维码，关注我们！

   更多万雍产品资讯可拨打服务热线：

400-820-3806