新勒索病毒變種Petya防御補(bǔ)丁下載，新變異病毒（Petya）不僅對(duì)文件進(jìn)行加密，而且直接將整個(gè)硬盤加密、鎖死，在出現(xiàn)以下界面并癱瘓后，其同時(shí)自動(dòng)向局域網(wǎng)內(nèi)部的其它服務(wù)器及終端進(jìn)行傳播，快來下載查殺吧！

本次新一輪變種勒索病毒攻擊的原理：

本次攻擊利用了微軟Windows系統(tǒng)的兩個(gè)新漏洞“CVE-2017-8543、CVE-2017-8464”，該病毒利用以下方式來攻擊并加密被攻擊對(duì)象系統(tǒng)中的文件：

1.利用Window Search（Windows Search的功能是為我們電腦中的文件、電子郵件和其他內(nèi)容提供內(nèi)容索引、屬性緩存和搜索結(jié)果，默認(rèn)的服務(wù)狀態(tài)是處于開啟的狀態(tài)）漏洞來提高權(quán)限并遠(yuǎn)程執(zhí)行加密命令，從而達(dá)到對(duì)全盤文件進(jìn)行加密的結(jié)果；

2.自動(dòng)創(chuàng)建Windows快捷方式LNK（.lnk），通過LNK來提高權(quán)限，并對(duì)文件進(jìn)行加密。

在加密過程中，全程都沒有任何彈框提示就直接加密文件或?qū)е码娔X藍(lán)屏（這是與5.12勒索病毒軟件不同的其中一個(gè)特點(diǎn)）。

應(yīng)對(duì)建議：

目前優(yōu)先處理步驟如下：

1、補(bǔ)丁修復(fù)

2、添加郵件網(wǎng)關(guān)黑名單

3、殺毒軟件升級(jí)及監(jiān)控

4、提升用戶信息安全意識(shí)度

1.補(bǔ)丁修復(fù)：

目前微軟已發(fā)出補(bǔ)丁，下載地址如下：

https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

具體操作指南：

先打開https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms，會(huì)看到CVE-2017-8543、CVE-2017-8464，找到相應(yīng)版本的補(bǔ)丁進(jìn)行下載（目前XP、Window2003不受影響），并執(zhí)行相應(yīng)主機(jī)及個(gè)人電腦的補(bǔ)丁升級(jí)。

2.添加郵件網(wǎng)關(guān)文件黑名單

在原有的黑名單上，增加如下后綴：

.lnk

.link

3.殺毒軟件升級(jí)及監(jiān)控

3.1.病毒庫升級(jí)及推送至所有服務(wù)器及主機(jī)；

3.2.殺毒軟件控制臺(tái)監(jiān)控：

查看殺毒軟件控制臺(tái)查看報(bào)警信息，如是否有入侵事件，如針對(duì)SMB攻擊（如SMB BoublePulsar ping、溢出攻擊），對(duì)已感染的進(jìn)行處理；

注：下面為某客戶受到攻擊時(shí)的異常事件日志信息，僅供參考：

本次新勒索病毒變種，雖然是利了微軟Windows系統(tǒng)的新系統(tǒng)漏洞，但其感染源頭依然是通過電子郵件向用戶發(fā)送勒索病毒文件的形式（或者是用戶主動(dòng)下載帶病毒的軟件并打開），所以提升用戶信息安全意識(shí)度是關(guān)鍵的應(yīng)對(duì)措施之一。

用戶下載文件包中如發(fā)現(xiàn)包含有異常的附件（本次是.lnk/.link的文件），則必須注意該附件的安全，在無法確定其安全性的前提下，提醒用戶不要打開。

建議進(jìn)一步加強(qiáng)對(duì)高管及用戶的信息安全意識(shí)度宣貫，并且需要結(jié)合最新的信息安全趨勢(shì)或者熱點(diǎn)問題進(jìn)行不同主題的宣貫，而且要持之以恒。