各有关单位：

6月27日，据相关机构通报，Petya勒索病毒及其变种Petwarp对乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国进行攻击，政府、银行、电力系统、通讯系统、企业及机场都不同程度地受到了影响，部分欧洲驻我国分支机构也被感染。现将有关情况通知如下：

一、病毒情况

Petya勒索病毒对硬盘驱动器主文件表（MFT）进行加密，使主引导记录（MBR）不可操作，以占用物理磁盘上的文件名、大小和位置信息，限制对完整系统的访问，从而让电脑无法正常启动。被感染电脑若需恢复，需支付价值300美元的比特币。该病毒影响范围包括Windows XP及以上版本的操作系统。

经相关机构对部分病毒样本初步分析发现，此次攻击的勒索病毒是Petya的新变种Petwarp。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式，采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放，之后释放Downloader来获取病毒母体，形成初始扩散节点，之后通过MS17-010（永恒之蓝）漏洞和系统弱口令进行传播。分析表明，该病毒可能具有感染域控制器后提取域内机器口令的能力。

二、防范措施

本次Petya勒索病毒利用的并非0DAY、1DAY漏洞，而是利用的陈旧漏洞，其传播方式也是利用类似弱口令/空口令此类基本配置问题。这些问题说明，系统策略加固和及时的漏洞补丁升级，是保证安全的必要手段。

1.邮件防范。带有不明附件的邮件请勿打开，收到的不明链接请勿点击；

2.更新补丁。一是更新操作系统补丁（MS），地址：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx；

二是 更新Microsoft Office/WordPad远程执行代码漏洞（CVE-2017-0199）补丁，地址：https://technet.microsoft.com/zh-cn/office/mt465751.aspx。

3.禁用WMI服务。禁用操作方法：https://zhidao.baidu.com/question/91063891.html。

4.更改空口令和弱口令。如操作系统存在空口令或弱口令的情况，请及时将口令更改为高强度的口令。

5.使用各网络安全公司提供的针对“永恒之蓝”病毒的免疫工具。

如已感染该病毒，建议重新安装系统，更新补丁、禁用WMI服务、使用免疫工具进行免疫。如有重要文件被加密，已开启Windows自动镜像功能的，可尝试恢复镜像，或等待后续可能出现的解密工具。

山东科技大学网络与信息中心

2017年6月29日