一、事件背景

北京时间6月27日晚间，据国外媒体HackerNews爆料，一种类似于“WannaCry”的新型勒索病毒席卷了欧洲，乌克兰境内地铁、电力公司、电信公司、切尔诺贝利核电站、银行系统等多个国家设施均遭感染导致运行异常。该病毒为“Petya”变种病毒，通过邮箱附件传播。另据乌克兰CERT官方消息称，邮箱附件被确认是该次病毒攻击的传播源头。该勒索病毒在全球范围内爆发，受病毒侵袭的国家除了乌克兰外，还有俄罗斯、西班牙、法国、英国以及欧洲多个国家，后续不排除会继续蔓延到包括中国在内的亚洲国家。

二、病毒分析

经过888集团安全产品事业部的取证研究，这次攻击是勒索病毒“Petya”的变种，病毒传播过程利用到windows的两个漏洞。第一步是利用CVE-2017-0199漏洞发送邮件，将病毒添加在office附件里，PC一旦打开附件，第一个传播的源头被感染成功。第二步是通过MS17-010（永恒之蓝）漏洞和系统弱口令进行传播。漏洞的详细利用情况如下：

漏洞一：CVE-2017-0199漏洞

漏洞说明：CVE-2017-0199允许攻击者利用此漏洞诱使用户打开处理特殊构造的Office文件在用户系统上执行任意命令，从而控制用户系统。

利用方法：利用该漏洞，黑客可以将勒索软件的代码嵌入了office文档中，例如word、PPT、Excel等，作为附件伪装成求职、广告等通过电子邮件传播。用户收到经过伪装的邮件后，一旦打开，勒索病毒释放成可执行文件。

漏洞二：MS17-010（永恒之蓝）SMB漏洞

漏洞说明：MS17-010（永恒之蓝）SMB漏洞是今年4月方程式组织泄露的重要漏洞之一。“永恒之蓝”利用Windows SMB远程提权漏洞，可以攻击开放445 端口的 Windows 系统并提升权限。

利用方法：首先，TCP 端口 445是在Windows 系统中提供局域网中文件或打印机共享服务，黑客尝试与电脑445端口建立请求连接，一旦连接成功，就能够获得局域网内共享的文件或信息。通过第一个漏洞感染的第一台PC继而利用MS17-010（永恒之蓝）SMB漏洞感染局域网中开放445端口的所有PC。

本次勒索病毒覆盖的终端是windows XP级以上操作系统，电脑、服务器感染这种病毒后会被加密特定类型文件，导致系统无法正常运行。不同于传统勒索软件加密文件的行为，“Petya”是一个采用磁盘加密方式，加密成功后，会显示勒索信息的界面，如果受害者不支付赎金，根本无法进入系统。

被加密后的勒索信息

三、安全建议

1、 恶意邮件防范

该勒索软件首次传播是通过邮件进行的，故此，遇到携带不明office附件和不明链接的邮件请勿点击附件。

2、 针对CVE-2017-0199、MS-17-010两个漏洞及时安装漏洞补丁

（CVE-2017-0199) RTF漏洞补丁地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

S17-010（永恒之蓝）漏洞补丁地址：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

3、 禁用WMI服务

https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx

4、 防火墙防护

888集团welcome大厅已更新防护特征库，如果您是888集团全新下一代防火墙产品的用户，请及时更新到如下版本：病毒样本库：49.00830； IPS特征库：11.00168

四、总结：

回顾“Petya”变种病毒和“wannacry”事件，勒索病毒所使用的手段并不是非常高级的攻击方法，利用的漏洞也并非0-day漏洞，而是微软早已发布通告的已知漏洞，传播的关键因素在于电脑或服务器存在未及时更新的漏洞和弱口令。因此，企业和个人都应认真思考安全体系建设的基础工作，个人电脑应及时安装操作系统补丁，拒绝弱口令并定期更换密码，遇到不明确的邮件不要轻易打开。企业用户应在网络边界部署可以及时提供相应特征库和防护策略的安全设备，尽早开启防护策略并及时更新特征库。防患于未然，做好安全，企业才能更好地发展。