Petya勒索蠕虫病毒安全预警

一概述、

2017年6月27日晚21时左右，乌克兰遭受了大规模的“未知病毒”（Petya勒索蠕虫病毒）攻击。包括首都基辅的鲍里斯波尔国际机场（Boryspil International Airport）、乌克兰国家储蓄银行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄罗斯石油公司（Rosneft）和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

Petya病毒可能釆用（CVE-2017-0199)RTF漏洞进行攻击，然后用（MS17-010)SMB漏洞进行内网传播。与WannaCry不同之处在于：该病毒不再加密单个文件而是加密NTFS分区、覆盖MBR、阻止机器正常启动，影响更加严重。

攻击者可能通过发送恶意的邮件进行鱼叉攻击,请勿打开并点击陌生人的邮件。

二、漏洞级别

漏洞级别：严重。

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

桌面系统：Windows Vista,7

服务器系统：Windows Server 2008,2008 r2，2012,

Office系统：2007,2010,2013,2016

四、排查方法

检查windows系统版本，如果版本在受影响的产品清单中，则受该漏洞影响。

查看是否已打补丁：以windows 7 64位版本为例，排查方法如下：

1、运行输入-》Cmd-》”systeminfo> c:\sysinfo.txt”，如图：

2、打开c盘的sysinfo.txt文件，在文件中搜索以下关键字；

2.1. （排查CVE-2017-0199 RTF漏洞）,kb4015549或kb4015546

2.2. （排查MS17-010 SMB漏洞漏洞）,kb4012212或kb4012215

2.3. 如果系统已经安装了微软推出的6月月度安全质量汇总（KB4022719）即可修复漏洞。

五、安全建议

1.在系统防火墙或者安全组对445端口进行限制；

2.升级建议：可通过Windows Update自动更新微软补丁修复漏洞，也可以手动下载补丁。

SMB漏洞说明及补丁下载:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

RTF漏洞说明及补丁下载:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-0199

  3.修复其他可能被利用的漏洞，如修改密码为足够复杂密码；关闭非业务必须端口到外网；WEB站点组件更新到最新版本等。

注意：修复漏洞前请将资料备份，并进行充分测试。