导读：据外媒报道，勒索病毒卷土重来，全新变种版Petya席卷全球，这次连ATM机也不放过。中国国内也出现了病毒传播迹象。

当地时间6月27日俄罗斯的最大油企、乌克兰的多家银行以及多家跨国公司已经中招，目前为止，仅俄罗斯和乌克兰两国就有80多家公司被Petya病毒感染。

到了周三（6月28日），亚洲地区也开始出现袭击案例，印度最大的集装箱码头孟买Jawaharlal Nehru运营受到了影响，澳大利亚也出现了感染案例。

和此前爆发的Wannacry勒索病毒类似的是，该病毒感染电脑后，要求支付300美元价值的比特币来获得解锁，Wannacry在5月份感染了全球超30万台电脑。

本文综合自丨21世纪经济报道（jjbd21；姚瑶）、中国经济网、每日经济新闻、凤凰科技、腾讯科技、南方都市报、环球网等

新勒索病毒Petya全球肆虐！

目前，新勒索病毒Petya已在全球爆发，俄罗斯、乌克兰两国约有80多家公司被Petya病毒感染。该病毒锁住大量的电脑，要求用户支付300美元的加密数字货币才能解锁。

莫斯科的网络安全公司Group-IB透露，许多电信运营商和零售商也遭到了Petya的攻击，该病毒传播方式与WannaCry病毒非常相似。

英国媒体公司WPP的网站在周二遭到攻击，该公司员工已被告知关闭电脑，且不得使用无线连接。

有消息人士称，位于伦敦Sea Containers地区的办公楼都已关闭，该区域为WPP、奥美国际（Ogilvy & Mather）等全球知名广告代理机构的总部所在地。WPP旗下若干家子公司的IT系统也受到了影响。

(受到攻击的全球最大广告传播集团之一WPP，目前该公司网站显示正在维护中。)

全球最大航运企业马士基集团（A.P.Moller-Maersk）在声明中表示，该公司的客户目前已无法使用在线预订工具，且公司的内部系统也已关闭。马士基集团发言人表示，此次网络攻击影响到公司的多个网站和部门，包括港口运营、石油和天然气生产等部门。

美国制药业巨擘Merck药厂也证实中标，成为第一家受害的美国公司，显示病毒已越过大西洋侵入美国。

乌克兰副总理罗岑科•帕夫洛称职表示，他和乌克兰政府的其他成员无法使用电脑。他还称，政府的所有电脑都在播放这一被攻击的画面。画面显示，“磁盘包含错误并需要准备”，并要求用户不要关闭它。

▲乌克兰总统办公室发布公告

甚至，乌克兰的ATM机也被拖下了水。

丹麦海运公司AP Moller-Maersk表示：“我们所有事业部门的信息科技系统大都因为病毒停摆。我们还在持续评估情况。我们的最高优先是维护营运安全。”

乌克兰举国震惊

切尔诺贝利核电站受感染

然而和英美等国相比，这次Petya病毒攻击的发源地乌克兰承担了最惨重的损失。乌克兰首相格罗斯曼把这次Petya病毒的感染称作“史无前例的”。格罗斯曼还说，

“我们的IT专家正在尽力保护关键的基础设施。我深信，这次病毒攻击会被击退，而始作俑者会被我们抓到严惩。”

乌克兰政府在官方推特上则发布了一张轻松的动图，在紧张的情势下意外地安抚了乌克兰民众焦躁的情绪。

▲图片来源：乌克兰政府官方账号

乌克兰官方发布的推文写道：

“我们的部分政府部门和私人企业遭到了病毒感染。无需惊慌失措，我们正在尽最大努力解决此事。”

配图gif则是一只可爱的小狗坐在浓烟滚滚的着火的房子里，镇定悠闲地喝着一杯茶。

淡定归淡定，但乌克兰这次举国上下受到病毒影响，情况不可谓不严重。

乌克兰副首相罗申科在推特上发布自己的电脑受到病毒攻击黑屏的照片。乌克兰央行也惨遭病毒感染。根据乌克兰央行发布的声明，该国银行系统由于病毒袭击的影响，有很多银行现在无法开展业务，对客户的服务和内部的管理工作都被迫停止了。

▲乌克兰副首相罗申科推文

根据纽约时报报道，这次病毒爆发的时机正好在乌克兰国内的一个“小长假”前一天，众多超市和ATM自动取款机受到攻击无法营业，想必也会对做好了假期出行计划的乌克兰民众带来极大的不便。

不仅如此，根据卫报报道，乌克兰还一度关闭了首都基辅的地铁和全国主要机场，使得旅客出行更加困难。这已经不是乌克兰第一次遭受电脑病毒的攻击。在2016年，乌克兰国家电网被病毒袭击，造成了部分地区电力供应受到影响。

然而，最令人揪心的消息，发生在乌克兰和白俄罗斯边境附近的切尔诺贝利。

1986年4月26日，切尔诺贝利核电站爆发了震惊世界的核泄漏事故，其辐射影响至今仍未完全消除。“切尔诺贝利”这个字眼，从此也成为了核灾难的代名词。

▲独立报报道

而根据英国独立报报道，切尔诺贝利核电站这次也遭到了Petya病毒攻击，核电站使用的电脑不得不断网下线，以防病毒被扩散到更大的范围。

独立报援引乌克兰政府发表的一份声明显示，平常用来监测核电站内部及周边环境辐射水平的电脑系统也被迫关停，这些高危工作现在暂时只能由工作人员手动进行。

Petya勒索病毒是什么？

Petya勒索病毒通过永恒之蓝传播，并被判定为高度风险。

该病毒会加密磁盘主引导记录（MBR），导致系统被锁死无法正常启动，然后在电脑屏幕上显示勒索提示。

如果未能成功破坏MBR，病毒会进一步加密文档、视频等磁盘文件。

它的勒索金额与此前Wannacry病毒完全一致，均为折合300美元的比特币。根据比特币交易市场的公开数据显示，病毒爆发最初一小时就有10笔赎金付款，其“吸金”速度完全超越了Wannacry。

根据分析结果，病毒样本运行之后，会枚举内网中的电脑，并尝试在445等端口使用SMB协议进行连接。

深入分析发现，病毒连接时使用的是“永恒之蓝”（EternalBlue）漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用，是造成WannaCry全球快速爆发的重要原因之一，此次Petya勒索病毒也借助此漏洞达到了快速传播的目的。

同时，病毒会修改系统的MBR引导扇区，当电脑重启时，病毒代码会在Windows操作系统之前接管电脑，执行加密等恶意操作。

电脑重启后，会显示一个伪装的界面，此界面实际上是病毒显示的，界面上假称正在进行磁盘扫描，实际上正在对磁盘数据进行加密操作。

当加密完成后，病毒才露出真正的嘴脸，要求受害者支付价值300美元的比特币之后，才会回复解密密钥。

这个加密流程与2016年起出现的Petya勒索病毒的流程相似，twitter上也有安全人员确认了二者的相似关系。但是不同的是，之前的Petya病毒要求访问暗网地址获取解密密钥，而此次爆发的病毒直接留下了一个Email邮箱作为联系方式。

国内方面，据360安全中心监测，目前也出现了病毒传播迹象。

电脑这样设置可以防中招

1、不要轻易点击不明附件，尤其是rtf、doc等格式。

2、及时更新Windows系统补丁，具体修复方案请参考“永恒之蓝”漏洞修复工具。

3、内网中存在使用相同账号、密码情况的机器请尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。

4、关闭TCP 135端口

建议在防火墙上临时关闭TCP 135端口以抑制病毒传播行为。

5、停止服务器的WMI服务

WMI（Windows Management Instrumentation Windows 管理规范）是一项核心的 Windows 管理技术 你可以通过如下方法停止 ：在服务页面开启WMI服务。在开始-运行，输入services.msc，进入服务。或者，在控制面板，查看方式选择大图标，选择管理工具，在管理工具中双击服务。

在服务页面，按W，找到WMI服务，找到后，双击 ，直接点击停止服务即可，如下图所示：

6、断网备份重要文档

如果电脑插了网线，则先拔掉网线；如果电脑通过路由器连接wifi，则先关闭路由器。随后再将电脑中的重要文档拷贝或移动至安全的硬盘或U盘。

7、运行免疫工具，修复漏洞

首先拷贝U盘或移动硬盘里的“免疫工具”到电脑。待漏洞修复完成后，重启电脑，就可以正常上网了。