防治指南

电脑管家已全面防御Petya勒索病毒,安装管家的用户请放心,电脑是安全的。
如果没有安装电脑管家,按照以下步骤,能轻松应对病毒风险

■ 正确的开机姿势可以防毒

【普通用户】

一、下载“Petya勒索病毒离线版免疫工具”

1、在另一台无重要文档的电脑上下载电脑管家的“勒索病毒离线版免疫工具”(简称“免疫工具”)

2、将“免疫工具”拷贝至安全的U盘或移动硬盘下载免疫工具 

注意免疫工具支持我的电脑系统吗?若系统不支持,请下载微软官方补丁包

二、断网备份重要文档

1、若电脑插了网线,则先拔掉网线;若电脑通过路由器连接wifi,则先关闭路由器。

2、将电脑中的重要文档拷贝或移动至安全的硬盘或U盘。

三、运行免疫工具,修复漏洞

1、拷贝U盘或移动硬盘里的“勒索病毒离线版免疫工具”到电脑。

2、双击运行,开始修复漏洞。

3、稍等片刻,等待漏洞修复完,重启电脑,就可以正常上网了。

四、开启实时防护和文档守护者工具,预防变种攻击

1、下载电脑管家最新版,保持实时防护状态开启(默认已开启)。下载电脑管家

2、打开电脑管家的文档守护者工具,自动备份重要文档。

【管理员用户】

电脑管家给IT管理员的几点建议:

一、 加强对域控服务器的安全防护,更新补丁

二、设置注册表项

将注册表项“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurityProviders/WDigest/UseLogonCredential”的值修改为0,防止该蠕虫内置的Minikatz工具直接提取内存中的主机明文密码

三、部署加固策略,在域控服务器上增加域策略,禁止域控管理员帐号登录终端 操作指引>>

四、禁止使用域控管理员等高权限帐号运行计划任务、业务应用,避免域控帐号泄露

如创建计划任务选择运行帐号时,请按照以下方式操作。操作指引>>

五、终端网络屏蔽非必要来源的入站445和135端口请求操作指引>>


■一不小心中招了,我该怎么办

一、前期准备

1、准备一台能正常使用的电脑,方便查看文件恢复教程

2、U盘一个(需要提前备份好U盘内资料)

3、WinPE镜像文件

● 获取途径:

(1)联系电脑管家工作人员,我们将派送存有镜像文件的U盘。联系方式:307602208@qq.com

(2)主动获取:镜像工具

4、使用UItraISO工具

操作指引>>

二、恢复中毒电脑上的文档和图片

1、将装有WinPE镜像文件的U盘插到已中毒的电脑上

● 设置U盘启动,开机进入WinPE系统

● 具体设置U盘启动方法,可参考http://jingyan.baidu.com/article/295430f10f4acb0c7e00501b.html(请用非中毒电脑打开该链接)

 

2、进入WinPE后,运行桌面上的“电脑管家文件恢复工具”,点击“万能恢复”

3、选择想要恢复的磁盘,点击“开始扫描”

4、正在扫描,请耐心等待

5、在列表中选择自己想要恢复的文件,点击“开始恢复”

6、选择一个可用的目录存放需要恢复的文件,点击“开始恢复”

7、弹出注册窗口,直接点击“立即注册”即可

8、恢复成功。你可以点击“打开目录”查看恢复的文件了

事件背景

Petya勒索病毒肆虐欧洲,入侵中国
6月27日,据国外媒体在twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击。目前为止,仅俄罗斯和乌克兰两国就有80多家公司被Petya病毒感染。该病毒代号为“Petya”,腾讯电脑管家溯源追踪到中国区最早攻击发生在2017年6月27号早上,通过邮箱附件传播。
2017/5/16 17:38:00 腾讯科技
Petya勒索病毒与WannaCry相似
该病毒传播方式与今年5月爆发的WannaCry病毒非常相似。病毒连接时使用的是“永恒之蓝”(EternalBlue)漏洞,这个漏洞在之前的WannaCry勒索病毒中也被使用过,是造成WannaCry全球快速爆发的重要原因之一,此次Petya勒索病毒也是借助了此漏洞达到了快速传播的目的。
2017/5/16 17:38:00 腾讯科技
Petya勒索病毒传播路径
腾讯电脑管家分析后发现病毒样本运行之后,会枚举内网中的电脑,并尝试在445等端口使用SMB协议进行连接。同时,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。加密完成后,病毒才露出真正的嘴脸,要求受害者支付赎金。
2017/5/16 17:38:00 腾讯科技

最新动态

【原理分析】Petya新型勒索病毒的加密原理分析
腾讯安全反病毒实验室通过分析样本的加密代码部分,发现此次勒索病毒的作者使用了与之前Petya病毒类似的代码,通过MBR中代码、数据格式、加密流程等多处的高度一致性可以判定,这次的新型Petya病毒与之前的Petya病毒有着千丝万缕的联系。
2017/06/28 腾讯电脑管家
【权威】电脑管家权威发布开机指南 四步彻底防御Petya勒索病毒
腾讯电脑管家已可全面防御Petya勒索病毒,安装电脑管家的用户只需升级或下载最新版腾讯电脑管家即可抵御Petya等勒索病毒的侵袭。如果没有安装电脑管家,按照这四步做,可彻底防御Petya勒索病毒。
2017/06/28 腾讯电脑管家
【变种分析】Petya勒索病毒新变种详细分析报告
目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。
2017/06/28 腾讯电脑管家
【首发】Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析
据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒。腾讯安全反病毒实验室旗下的哈勃分析系统对收集到的病毒样本进行了分析,并已确认病毒样本通过永恒之蓝传播。根据病毒的恶意行为,哈勃已经能够识别此病毒并判定为高度风险。
2017/06/28 腾讯电脑管家
【紧急扩散】Petya勒索病毒全球肆虐,腾讯电脑管家率先拦截查杀
6月27日,一种类似于“WannaCry”的新勒索病毒“Petya”席卷了欧洲,导致俄罗斯石油公司(RosneftPJSC)和丹麦A.P.穆勒-马士基有限公司等在内的多家大型企业被攻击,乌克兰的政府系统也遭到了袭击,并已确认有国内企业中招。腾讯电脑管家率先响应,并已确认病毒样本通过永恒之蓝漏洞传播,开启腾讯电脑管家可拦截和查杀。
2017/06/28 腾讯电脑管家