安全专家对Petya勒索病毒的技术分析也在不断完善,最新报告表明:即使电脑已经安装过Windows SMB漏洞补丁(永恒之蓝漏洞之一),也不能完全阻止病毒感染。Petya勒索病毒一旦侵入企业内网,除了利用Windows SMB安全漏洞传播之外,还会攻击局域网的共享功能,利用自带的黑客工具读取中毒电脑登录令牌,尝试连接其他远程计算机,复制并运行病毒程序。
基于这种情况,显然,仅建议用户安装MS17-010补丁是不能解决问题的。为防止Petya勒索病毒入侵更多企业网络,金山毒霸再次升级防黑墙方案:
该方案可以在部分电脑无法安装或未安装MS17-010补丁时,具备防御蠕虫式攻击的能力;同时,可定位攻击源IP地址,指导网管解决已中毒的电脑;该方案是基于病毒蠕虫式的攻击行为作防御,因而,即使出现新的变种,利用同样的方式在局域网内扩散时,同样可以拦截。
另外,病毒在企业内网会攻击WMI服务,以及释放PeExec连接远程计算机。建议关闭系统WMI服务和关闭admin$共享来降低内网入侵风险。
关闭WMI服务的操作步骤:运行Services.msc,在服务列表中找到“Windows Management Instrumentation”,双击打开属性,启动类型选择“禁用”。
关闭admin$共享,可以在“计算机管理”,共享文件夹,暂时停止共享admin$
Petya勒索病毒破坏的硬盘能否恢复数据,这也是网友十分关心的话题。如果系统已经重启,显示出勒索比特币的画面,恢复就比较困难。上个月造成破坏的勒索蠕虫是先加密生成一个新文件,再删除旧文件,有文件删除动作,给反删除恢复数据留下机会。
而这次爆发的Petya勒索病毒是直接加密回写文件,恢复文档的难度更大。同时,Petya勒索病毒还会破坏硬盘主引导记录和分区信息,会造成系统不能启动,数据也会丢失。因此,及时备份企业数据异常重要。
那是不是只剩下支付赎金解密文件一条路了呢?答案是,这条路也不通了,因为受害者支付赎金后,还需将比特币钱包地址发送至邮箱“wowsmith123456@posteo.net”,以便病毒作者确认受害人是否付款。但是邮箱的供应商Posteo已将该邮箱关闭。所以即使支付了赎金,病毒作者也无法收到邮件,不知道该怎么提供解密密钥,也就无法解密。
