尊敬秀探云的用户：

您好！Petya勒索蠕虫病毒全球肆虐，多家政府机构及大企业中招。

为避免您的业务受影响，我们建议您及时开展自查，并尽快推动内部业务排查，详细参见如下指引说明：

【漏洞概述】

类似于“WannaCry”的新勒索病毒席卷了欧洲，导致多家大型企业被攻击。该病毒为去年出现的新型勒索病毒“Petya”的变种。病毒釆用（CVE-2017-0199)RTF漏洞进行钓鱼攻击，用（MS17-010)SMB漏洞进行内网传播，与WannaCry不同之处在于：该病毒不再加密单个文件而是加密NTFS分区、覆盖MBR、阻止机器正常启动，显示攻击者的勒索信息，影响更加严重；

【风险等级】

高风险

【漏洞影响】

NTFS分区被加密、MBR被破坏、机器无法正常启动、索要赎金；

【影响版本】

1）打开了含有恶意病毒的文件Windows主机

2）所有未安装MS17-010补丁的Windows主机；

【安全建议】

1. 打补丁修复该漏洞防止传播，补丁地址如下：

Rtf补丁下载:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

ms17-010漏洞修复方案跟之前的Wannacry修复方案相同，官方补丁下载地址：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx?from=groupmessage&isappinstalled=0

2.请检查服务器的账号密码，如果密码简单，请立即修改为强口令密码并定期更新密码；

3.不要将高危的服务端口开放到外网，例如：3389、445、139端口，仅开放必要的业务服务端口，您可以配置安全组策略或者开启系统防火墙屏蔽高危端口；

4.如果您重新购买使用新的云主机，您可以安装防病毒软件，例如:微软MSE 、企业版卡巴斯基、诺顿等；

5.不要在Windows云主机内打开来源不明的链接及文件，云主机一旦感染病毒立即断开网络，防止VPC内进一步扩散，感染VPC内其他云主机；

6.如果部署邮件服务，邮件网关应增加样本拦截能力；

7.使用制作镜像、云硬盘快照或其他方式提前备份好数据。

【相关参考】

1）http://www.freebuf.com/news/138557.html 

2）http://www.freebuf.com/articles/system/138567.html

秀探云

2017-06-28 14:03:06