Petya 来袭，腾讯云快速响应提供安全解决方案

6月27日，一种名为“Petya”的新型勒索病毒席卷了欧洲，乌克兰等国家，多家运营商、银行、ATM机、公司、机场等均受到影响，包括政府大楼的电脑甚至于乌克兰副总理的电脑都遭到感染，出现问题；另有消息称前切尔诺贝利核电厂的防控系统也受到影响，导致基于Windows系统的传感器失灵，科学家不得不手动监测辐射水平。

同时，在27号18点左右，腾讯云联合电脑管家发现相关样本在国内出现，腾讯云已第一时间启动用户防护引导，到目前为止，云上用户尚无感染案例，但建议没打补丁用户尽快打补丁避免感染风险。

经云鼎实验室确认，这是一种类似于“WannaCry”的勒索病毒新变种，传播方式与“WannaCry”类似，利用了EternalBlue（永恒之蓝）进行传播，同时还具备局域网传播手法。

腾讯云主机防护产品云镜已第一时间检测该蠕虫，云鼎实验室将持续关注该事件和病毒动态，第一时间更新相关信息，请及时关注，修复相关漏洞，避免遭受损失。

技术分析

通过对勒索病毒进行分析，我们发现Petya主要是以一个DLL文件的形式存在，通过投放手段远程侵入目标主机，一旦受到感染，那么病毒将执行加密和内网传播操作，主要有：

1. 将自身投递到C:\windows目录下，然后通过rundll32.exe进行启动
2. 一旦病毒启动功，将会进行文件加密，同时在系统中添加定时任务，系统将在一小时后重新启动，在系统重启后将看到以下的画面
3. 在这过程中，病毒还会利用Mimikatz工具提取内存中的密码
4. 病毒在获取密码后会扫描内网中的机器，对远程机器的445、139端口进行连接，尝试将自身和PSEXEC副本复制到远程机器的ADMIN$文件夹，然后通过通过PSEXEC和WMIC执行命令远程调用进行启动，以此进行传播
5. 除此之外，病毒还会利用EternalBlue（永恒之蓝） 和 EternalRomance（永恒浪漫）进行传播

事件响应

在监测到事件后，腾讯云团队启动响应机制，3个小时内进行多维度的预警和防御：

1. 确认腾讯云安全组对相关利用端口的封堵
2. 封堵病毒使用的相关域名和IP
3. 普查云上机器对病毒使用漏洞补丁的更新情况，提前做好防御预警
4. 将相关样本入库检测
5. 通知合作伙伴相关情报

在拿到Petya相关病毒样本后，我们第一时间对云镜后台检测策略进行了升级，对腾讯云上已经安装过云镜的用户进行了检测，未发现受本次病毒影响的用户。

云镜是腾讯云官网为用户提供的一款主机安全加固产品，可以帮助云上用户实时发现黑客入侵行为和漏洞风险，降低因黑客入侵导致的数据泄露风险。主要包括密码破解拦截、异地登录提醒、木马文件查杀、高危漏洞检测等安全功能，解决当前服务器面临的主要网络安全风险，帮助企业构建服务器安全防护体系。

目前，云鼎实验室与电脑管家依然通过全网布控监测病毒相关疫情，通过“云+端”的联动形成立体防御体系。

相关推荐

主机安全（云镜）

Petya 勒索病毒来袭，腾讯云用户安全指引

Petya 新型勒索病毒的加密原理分析

Petya 勒索软件新变种详细分析报告