軟件介紹

Petya勒索病毒專殺工具是由騰訊推出的一款針對Petya勒索病毒的殺毒軟件，不僅可以防御petya勒索病毒，還可全面防御所有已知的變種和其他勒索病毒；此外，漏洞檢測能力也得到升級，加入了NSA武器庫的防御，可以抵御絕大部分NSA武器庫泄漏的漏洞的攻擊。

相關知識

在永恒之藍勒索病毒告一段落后,勒索病毒卷土重來,一款名為Petya勒索病毒再次襲來,這次的Petya勒索病毒威力驚人,用戶朋友可以提前安裝Petya勒索病毒專殺工具為電腦防護。

據twitter爆料，烏克蘭政府機構遭大規模攻擊，其中烏克蘭副總理的電腦均遭受攻擊，目前騰訊電腦管家已經確認該病毒為Petya勒索病毒變種。Petya勒索病毒變種中毒后會掃描內網的機器，通過永恒之藍漏洞自傳播到內網的機器，達到快速傳播的目的。有國外安全研究人員認為，Petya勒索病毒變種會通過郵箱附件傳播，利用攜帶漏洞的DOC文檔進行攻擊。中毒后，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟后，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁盤掃描，實際上正在對磁盤數據進行加密操作。

當加密完成后，病毒要求受害者支付價值300美元的比特幣之后，才會回復解密密鑰。

傳播渠道

郵箱傳播

根據烏克蘭CERT官方消息，郵件附件被認為該次病毒攻擊的傳播源頭，郵箱附件是一個DOC文檔，文檔通過漏洞CVE-2017-0199來觸發攻擊，電腦管家也溯源到了國內類似郵件攻擊早發生在6月27日早上。在實際測試過程中，并沒有完整重現整個攻擊過程。

可能傳播渠道-MeDoc

很多安全研究機構認為，這次Petya的攻擊源是由于MeDoc軟件的更新服務被劫持導致。

勒索細節

1、系統重啟，惡意MBR加載；

2、檢測磁盤是否被加密，如果沒有則顯示偽造的檢測磁盤界面、并加密MFT；

3、顯示紅色的勒索界面，讓用戶輸入秘鑰；

細節分析

MBR啟動后，將1-21扇區數據復制到8000地址處，然后Jmp執行8000地址代碼

通過讀取標記位判斷磁盤已經被加密

若磁盤沒有加密，則顯示偽造的檢測磁盤界面，并加密MFT

軟件評測

近期勒索病毒卷土重來,使用這款殺毒軟件可以有效的防御病毒，早點防御，避免因病毒的侵襲給自己造成的不必要的損失，推薦下載使用！