<p><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/7ed7d283e5815e77edf4cd07399cd0ef.png"></p>    <p>Petya勒索蠕虫完全分析报告</p>    <h2>第一章 前言</h2>    <p>2017年6月27日晚，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击，该病毒远程锁定设备，然后索要赎金。其中，乌克兰地区受灾最为严重，政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响，包括首都基辅的鲍里斯波尔国际机场（Boryspil International Airport）、乌克兰国家储蓄银行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄罗斯石油公司（Rosneft）和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。</p>    <p>此次黑客使用的是Petya勒索病毒的变种，，使用的传播攻击形式和WannaCry类似，但该病毒除了使用了永恒之蓝（MS17-010）漏洞，还罕见的使用了黑客的横向渗透攻击技术。在勒索技术方面与WannaCry等勒索软件不同之处在于，Petya木马主要通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动，故而其影响更加严重。如果想要恢复，需要支付价值相当于300美元的比特币。</p>    <p>由于这次攻击有很强的定向性，所以目前欧洲被感染的受害者较多。目前国内感染量较少，但是考虑到其横向攻击传播能力，未来存在较高风险在国内传播。</p>    <h2>第二章 Petya老样本简介</h2>    <p>2016年4月，敲诈勒索类木马Petya被安全厂商曝光，被称作是第一个将敲诈和修改MBR合二为一的恶意木马。木马Petya的主要特点是会先修改系统MBR引导扇区，强制重启后执行MBR引导扇区中的恶意代码，加密受害者硬盘数据后显示敲诈信息，并通过Tor匿名网络索取比特币。</p>    <p>Petya与其他流行的勒索软件的不同点在于，Petya不是逐个加密文件，而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序，还创建了一个32个扇区长的小内核。</p>    <p>Petya的木马释放器会将恶意代码写入磁盘的开头。被感染的系统的主引导记录（MBR）将被加载一个小型恶意内核的自定义引导加载程序覆盖，然后该内核会进一步加密。 Petya的敲诈信息显示其加密了整个磁盘，但这只是木马作者放出的烟雾弹，事实上，Petya只是加密了主文件表（MFT），使文件系统不可读，来拒绝用户访问完整的系统。</p>    <p><a href="https://simg.open-open.com/show/7ed7d283e5815e77edf4cd07399cd0ef.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/f55876d692ac552e048591f86ceb4558.png"></a></p>    <p>图 1 Petya的敲诈信息</p>    <h2>第三章 Petya新样本详细介绍</h2>    <p>此次Petya病毒的新样本类型为DLL，有一个导出序号为1的函数。当这个函数被调用时，首先尝试提升当前进程的权限并设置标记，查找是否有指定的安全软件，后面会根据是否存在指定的安全软件跳过相应的流程。绕过安全软件的行为监控。</p>    <p>接下来修改磁盘的MBR，并将生成的Key，IV，比特币支付地址以及用户序列号写入磁盘的固定扇区。然后创建计划任务于1小时后重启。遍历局域网可以连通的ip列表，用于后续的局域网攻击。释放并执行抓取密码的进程，释放psexec进程用于后续执行远程命令。对系统的网络资源列表进行过滤，筛选本地保存的凭据，使用保存的凭据连接，成功后执行远程命令，进行局域网感染。</p>    <p>下一步生成随机ip，连接445端口进行永恒之蓝漏洞攻击。然后遍历磁盘，对指定扩展名的文件进行加密。执行完所有流程后，清除日志并强行重启。</p>    <p><a href="https://simg.open-open.com/show/663355251a865577c88a74262ac742be.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/3cd658dcfcd253526349f1ffbfcfa536.jpg"></a></p>    <p>图 2 总体流程图</p>    <h2>第四章 Petya勒索蠕虫感染传播趋势分析</h2>    <p>自6月27日在欧洲爆发的起，Petya勒索病毒在短时间内袭击了多国。</p>    <p>根据360互联网安全中心的监测，对每一个小时的远程攻击进程的主防拦截进行了统计。从6月28号0点至6月28日晚上7点整，平均每小时攻击峰值在5000次以内。上午10点攻击拦截达到最高峰，后缓慢波动，在14点达到一个小高峰，然后攻击频率开始缓慢下降。由此可见，Petya的攻击趋势并不呈现几何级增长的趋势，而是缓慢下降的，并不具备进一步泛滥的趋势。</p>    <p><a href="https://simg.open-open.com/show/c8db720c52e46ffc2dec007e706fac2b.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/6496a1c8f3a629d527ba5629cc443d53.png"></a></p>    <p>图 3 攻击频率</p>    <p>除乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模的Petya攻击外，我国也遭受了同样的攻击。针对我国的攻击，主要集中在北京、上海、广州、深圳、香港等大城市，根据360互联网安全中心的监测，在全中国八十多个城市拦截到了攻击。</p>    <p><a href="https://simg.open-open.com/show/af61241eaf674b3b994890bbf6efa35f.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/b0a239710e58a3c9672acce569e3e32c.png"></a></p>    <p>图 4 Petya国内感染情况</p>    <h2>第五章 Petya横向移动及传播技术分析</h2>    <h3>一、提升权限，设置执行标记</h3>    <p>首先，Petya病毒会尝试提升当前进程的3种权限：SeShutdownPrivilege、SeDebugPrivilege和SeTcbPrivilege，根据是否成功设置标记，后面执行相应的流程时会判断此标记，以防没有权限时系统报错。</p>    <p><a href="https://simg.open-open.com/show/55e3e90cc727c34a959849e62b9b35f9.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/78b11ff6e39c41395a590c2b1efc1050.png"></a></p>    <p>然后，通过CreateToolhelp32Snapshot枚举系统进程，判断是否有指定的安全软件，并设置标记。</p>    <p><a href="https://simg.open-open.com/show/984b416b1023c2c4de92585d6291d749.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/1eb9dcb4409ddadf519cace65f9a1d7f.png"></a></p>    <p>枚举过程中，通过将进程名称进行异或计算得出一个值，将该值与预设的值进行比较，此处病毒是在寻找特定名称的进程，通过对算法进行逆向还原，我们找出预设值对应的进程名称：</p>    <table>     <tbody>      <tr>       <td>进程名称</td>       <td>杀毒软件</td>      </tr>      <tr>       <td>0x2E214B44:   avp.exe</td>       <td>卡巴斯基</td>      </tr>      <tr>       <td>0x651B3005:   NS.exe</td>       <td>诺顿</td>      </tr>      <tr>       <td>0x6403527e: ccSvcHst.exe</td>       <td>诺顿</td>      </tr>     </tbody>    </table>    <p>当存在NS.exe(诺顿)或ccSvcHst.exe(诺顿)进程时，不执行漏洞感染流程。</p>    <p>当存在avp.exe(卡巴斯基)进程时，不执行MBR感染流程。</p>    <h3>二、MBR修改</h3>    <p>获取分区类型，当为MBR格式时执行修改MBR流程。</p>    <p><a href="https://simg.open-open.com/show/1d20be3b9767672bdf62a7814bd2b2df.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/e5e2180e6b72789af986e79c35cf7be8.png"></a></p>    <p>随后，Petya将修改机器的MBR，具体流程如下：</p>    <ul>     <li>通过微软的CryptoAPI生成长度为 60 字节的随机数</li>    </ul>    <p><a href="https://simg.open-open.com/show/df2e960654405c65f1a2ab2aeaf53224.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/5ad2297c4108708715c8b667e2e996a8.png"></a></p>    <ul>     <li>对生成的随机数对58进行取模，取模后的值作为下述数组的索引</li>    </ul>    <p>123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz，生成勒索界面显示的序列号</p>    <ul>     <li>将病毒内置的MBR写入，长度为0x13个扇区</li>    </ul>    <p><a href="https://simg.open-open.com/show/0a383bfba1a7478e637d58f5d1cb741a.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/ffe65062171f8cfdd6a537adc81d62b3.png"></a></p>    <ul>     <li>将随机生成的key，IV，硬编码的比特币支付地址以及用户序列号写入磁盘第0x20个扇区</li>    </ul>    <p><a href="https://simg.open-open.com/show/7857ee00c0b7b777ded72bbbeadeb168.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/cb03a728b4acbdf778b110b88681a8e0.png"></a></p>    <h3>三、设置重启计划任务</h3>    <p>创建计划任务，设定当前时间1小时后重启计算机。</p>    <p><a href="https://simg.open-open.com/show/428332b994857435669a4aed2a30147f.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/ef34d76c540873dd9770161302e1b3bd.png"></a></p>    <p><a href="https://simg.open-open.com/show/75e61d152ff0db436f14032ac53120b3.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/bf4bd061a7557ec04edb0d3469c32631.png"></a></p>    <p>重启之后将执行病毒的MBR，加密扇区。</p>    <h3>四、遍历IP</h3>    <p>首先，Petya检查被感染的机器是否为Sever或者域控服务器</p>    <p><a href="https://simg.open-open.com/show/be23512010f5647e3547d946528cf995.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/8c4e6f216114fa84edcb656fe8318887.png"></a></p>    <p>当检测到主机为服务器或者域控时，会枚举该主机DHCP已分配的IP信息，保存在列表中用于网络攻击。</p>    <p><a href="https://simg.open-open.com/show/ccd874fc615979147f22a5da7821bf12.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/52141c1fdb9c42192b7c1d19d1d6d9a4.png"></a></p>    <h3>五、释放并运行资源</h3>    <p>进程首先从资源中解压缩ID为1的资源，在系统的%TEMP%目录下生成一个临时文件。</p>    <p><a href="https://simg.open-open.com/show/c9710bbcfaf8bfdd05a51aad2a68176e.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/a2748590c5ef8a41888f4f3ef6d9a9a9.png"></a></p>    <p>随后程序启动线程尝试连接特定的命名管道并读取数据，随后将该临时文件作为进程启动，并且等待1分钟。</p>    <p><a href="https://simg.open-open.com/show/8cd5722982cc752bff506345f39aefd2.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/5907a7cee11fa51f73a4489e5b21c717.png"></a></p>    <p>对启动的临时文件进行分析，其代码功能与mimikatz，一款Windows下抓取密码的工具类似，Petya通过命名管道从该工具进程中获取本机账户密码。</p>    <p><a href="https://simg.open-open.com/show/4874e3210c697c6c282cce85d2c1bceb.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/6cea57925dac0b98826504ff0153878a.png"></a></p>    <p>之后程序加载资源序号3并且解压缩，首先获取系统文件夹目录，若失败则获取%APPDATA%目录，并将解压后的资源命名为dllhost.dat写入到该目录下。</p>    <p><a href="https://simg.open-open.com/show/5ccd0582fd0372889ced103e9074d6d5.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/f0bba3274ea4dbf56dfb9b5ba10c12e0.png"></a></p>    <p>dllhost.dat的本质为PsExec.exe，是一款属于sysinternals套件的远程命令执行工具，带有合法的签名。</p>    <h3>六、枚举网络资源</h3>    <p>接下来，病毒遍历所有连接过的网络资源，从中筛选类型为TERMSRV的凭据保存。</p>    <p><a href="https://simg.open-open.com/show/dda147078f66fec25c11abd789ef31c3.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/f8d5ab137f161dace48c579646dac11c.png"></a></p>    <p><a href="https://simg.open-open.com/show/abadcc8d1d982fab94a7e3f8037f343a.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/82c795d8e2287f34acbc8fae71c1008a.png"></a></p>    <p>接下来尝试使用保存的凭据连接网络资源</p>    <p><a href="https://simg.open-open.com/show/12e2130dac716e3910423a456fc42e95.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/cd075690276c9c560bbb0b75069e77cc.png"></a></p>    <p>连接成功则执行下列命令：</p>    <p><a href="https://simg.open-open.com/show/fb44cea15158019b1c2102b00d58779f.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/d9e44806f3c10392d21d9930ab997fff.png"></a> <a href="https://simg.open-open.com/show/918f252942638f516057ea1eae19dcc1.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/77249256a36d5a94feb0a1bed5193f3d.png"></a></p>    <p>该命令将在目标主机上执行rundll32。exe调用自身dll的第1个导出函数，完成局域网感染功能。</p>    <h3>七、使用永恒之蓝漏洞攻击</h3>    <p>接下来，启动线程进行永恒之蓝漏洞攻击。</p>    <p><a href="https://simg.open-open.com/show/43a24ce5344902a03ba4cd0f08f4a7b8.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/9327ed8404e453c078c45c3fb4a028fd.png"></a> <a href="https://simg.open-open.com/show/e8b08763ce00ca228932036197363713.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/bc563f803b9805a3fc44b0a34dec0a25.png"></a></p>    <p>病毒使用异或的方式加密了部分数据包，在内存中重构后发送数据包，这样就避免了杀毒软件的静态查杀。</p>    <p><a href="https://simg.open-open.com/show/981d030770b7a219b3d84f68fd1593ca.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/2ed59e63c78a32317e63985a85aaf34d.png"></a></p>    <h3>八、文件加密</h3>    <p>Petya采用RSA2048 + AES128的方式对文件进行加密，程序中硬编码RSA公钥文件，每一个盘符会生成一个AES128的会话密钥，该盘符所有文件均对该AES Key进行加密。</p>    <h3>九、清除日志并重启</h3>    <p>执行完加密文件和网络传播流程后，病毒将清除Windows系统日志并强制重启。重启后将执行病毒写入的MBR并加密磁盘。加密完成后显示勒索信息并等待用户输入key。</p>    <p><a href="https://simg.open-open.com/show/a16bbf8c8a28255700517fca049a6186.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/01871b533c6cc1fcca48a97cf9608d38.png"></a> <a href="https://simg.open-open.com/show/96988ab17b8dd3029c9292cc821589be.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/2fc9c51ef818706d002ed47c72e48733.jpg"></a></p>    <h2>第六章 Petya勒索加密技术分析</h2>    <h3>一、篡改MBR</h3>    <p>当系统重启后，执行病毒的MBR，伪装成CHKDSK进行加密磁盘，加密完成后弹出敲诈信息对用户进行敲诈。</p>    <p><a href="https://simg.open-open.com/show/41dc556977b09c90e30486122588f593.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/55e089f67a57294031c05a6f63ae9a27.jpg"></a></p>    <p>图 5 Petya敲诈信息</p>    <p>下面，我们来对修改后的MBR进行分析:</p>    <ul>     <li>读取第20个扇区判断是否已经加密，执行相应流程</li>    </ul>    <p><a href="https://simg.open-open.com/show/f1c586742b0e5580004f5f9fecf31765.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/4f2957fae35e3ecf9fc83ff607daffc5.png"></a></p>    <ul>     <li>加密流程，读取病毒配置信息， 病毒加密用的key存在第0x20个扇区</li>    </ul>    <p><a href="https://simg.open-open.com/show/6944c5b064b468b5e919c4fa5da42e2a.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/a8a44820559b57f5c86b53dcc2277515.png"></a></p>    <ul>     <li>设置已经加密的标志位，并把配置信息中的key清0， 写回磁盘第20扇区</li>    </ul>    <p><a href="https://simg.open-open.com/show/5099622dcb03f45e056cd29e2927f121.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/defd6830ba90d4829981de86b44b454f.png"></a></p>    <ul>     <li>使用用户输入的key尝试解密</li>    </ul>    <p><a href="https://simg.open-open.com/show/18ba1389a8ca2ba42e46c5c0d6996168.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/feb500882d80bfb3baaa11163d280ced.png"></a></p>    <h3>二、加密文件</h3>    <p>勒索木马Petya采用RSA2048 + AES128的方式对文件进行加密，程序中硬编码RSA公钥文件，针对每一个盘符都会生成一个AES128的会话密钥，该盘符所有文件均用该AES Key进行加密。</p>    <p>根据后缀名对相关文件进行分类，涉及的文件格式如下表：</p>    <p><a href="https://simg.open-open.com/show/82ac1c69f2691cadf918a3fd4ddea13b.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/9f41998ffccd8d0797462bd54ba7b90f.jpg"></a></p>    <p>Petya的加密流程如下图：</p>    <p><a href="https://simg.open-open.com/show/2da687d9de55ad9e7ec26e3f51bece10.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/e263c2e5a2343526368500de405880d4.jpg"></a></p>    <p>图 6 加密流程</p>    <ol>     <li>启动加密文件线程:</li>    </ol>    <p><a href="https://simg.open-open.com/show/af599214038aa8a704543176d8519bbf.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/7847db78997e843d05ea8437e77b20db.png"></a></p>    <p><a href="https://simg.open-open.com/show/ab97d3f824a88b33671e01308ef699ab.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/70bb3dd37c19994785e90fcb49c60acb.png"></a> <a href="https://simg.open-open.com/show/5506dce8eadd0787b49a1fa6a7631cc2.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/4d35e4a871dfcfc110043ba4a7f8b156.png"></a></p>    <ol start="2">     <li>递归枚举目录并加密</li>    </ol>    <p> </p>    <p><a href="https://simg.open-open.com/show/199f6a17415e1c8f56d7403955bb5417.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/89de5ceaf66fd672db9c64dd2998ecab.png"></a></p>    <ol start="3">     <li>写入Readme .txt文件</li>    </ol>    <p>Readme .txt文件中包含比特币支付地址。</p>    <p><a href="https://simg.open-open.com/show/5637d2196c1ddb15ebe040a92f6615fb.png"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/defcdf10e2b4c33f24c514842aed75c0.png"></a></p>    <h2>第七章 Petya勒索杀毒软件攻防分析</h2>    <p>在提权阶段，Petya会通过CreateToolhelp32Snapshot枚举系统进程，判断是否有指定的安全软件，并设置标记。枚举过程中，通过将进程名称进行异或计算得出一个值，并将该值与预设的值进行比较，可见此处Petya是在寻找特定名称的进程。</p>    <p>通过分析，我们确认Petya主要针对杀毒软件诺顿和卡巴斯基进行了反检测处理。</p>    <ul>     <li>当存在exe(诺顿)或ccSvcHst.exe(诺顿)进程时，不执行漏洞感染流程。</li>     <li>当存在exe(卡巴斯基)进程时，不执行MBR感染流程。</li>    </ul>    <h2>第八章 缓解措施建议</h2>    <p>针对Petya勒索软件，360追日团队提醒广大用户警惕防范，我们建议用户采取以下措施以保障系统安全：</p>    <ol>     <li>保证系统的补丁已升级到最新，修复永恒之蓝(ms17-010）漏洞。</li>     <li>临时关闭系统的WMI服务和删除admin$共享，阻断蠕虫的横向传播方式。具体操作为，右键exe”以管理员身份运行”，输入如下命令：</li>    </ol>    <table>     <tbody>      <tr>       <td><code>1</code></td>       <td><code>net stop winmgmt</code></td>      </tr>     </tbody>    </table>    <table>     <tbody>      <tr>       <td><code>2</code></td>       <td> </td>      </tr>     </tbody>    </table>    <table>     <tbody>      <tr>       <td><code>3</code></td>       <td><code>net share admin$ </code><code>/delete</code></td>      </tr>     </tbody>    </table>    <ol start="3">     <li>如若不幸中招，也可以采取一些措施来减小损失。</li>    </ol>    <p>由于在感染Petya的过程中，病毒会先重启电脑加载恶意的磁盘主引导记录（MBR）来加密文件，这中间会启用一个伪造的加载界面。中招者如果能感知到重启异常，在引导界面启动系统前关机或拔掉电源，随后可以通过设置U盘或光盘第一顺序启动PE系统，使用PE系统修复MBR或者直接转移硬盘里的数据，可以在一定程度上避免文件的损失。</p>    <h2>第九章 总结</h2>    <p>Petya勒索病毒早已被安全厂商披露，其早期版本只对MBR和磁盘分配表进行加密，并提示虚假的勒索信息，声称其已对受害者系统进行了全盘加密，进而索要赎金。而此次Petya新变种卷土重来，肆虐欧洲大陆在于其利用了已知的Office漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术，使得病毒可以在短时间内呈暴发态势。另一方面，Petya木马主要通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动，相较普通勒索软件对系统更具破坏性。</p>    <p>由于这次攻击有很强的定向性，所以目前欧洲被感染的受害者较多，国内感染量较少。这得益于自5月份WannaCry勒索病毒爆发后，中国用户已经安装了相关漏洞的补丁，故而并没有为Petya勒索病毒的泛滥传播提供可乘之机。但是考虑到其横向攻击传播能力，未来存在较高风险在国内传播。360追日团队在此提醒广大用户及时更新系统补丁，安装360安全产品，增强终端防护能力。目前360安全产品可全面查杀Petya勒索病毒。</p>    <h3> </h3>    <h3>360追日团队（Helios Team）</h3>    <p>360 追日团队（Helios Team）是360公司高级威胁研究团队，从事APT攻击发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队成立于2014年12月，通过整合360公司海量安全大数据，实现了威胁情报快速关联溯源，独家首次发现并追踪了三十余个APT组织及黑客团伙，大大拓宽了国内关于黑客产业的研究视野，填补了国内APT研究的空白，并为大量企业和政府机构提供安全威胁评估及解决方案输出。<br> <em>联系方式</em><br> 邮箱：360zhuiri@360.cn</p>    <p>微信公众号：360追日团队</p>    <p>扫描二维码关微信公众号</p>    <p><a href="https://simg.open-open.com/show/a0154d93c41d19bdf1ba1214fe678053.jpg"><img alt="Petya勒索蠕虫完全分析报告" src="https://simg.open-open.com/show/a0154d93c41d19bdf1ba1214fe678053.jpg"></a></p>    <p> </p>