1 、病毒預警
2017年6月27日晚，歐洲正在遭到新一輪勒索病毒的衝擊，該病毒變種名為Petya，英國、烏克蘭、俄羅斯等都受到了不同程度的影響，該病毒和永恆之藍勒索軟體很類似，都是遠程鎖定設備，然後索要贖金。
據外媒報導，英國最大廣告公司WPP是第一家被爆受到波及的公司，員工們已經被告知關閉電腦，並且不要使用公司WiFi。此外，俄羅斯石油公司Rosneft、丹麥航運巨頭AP Moller-Maersk也都遭到了攻擊，據悉，國內也已有企業中招。
WannaCry病毒事件似乎已經漸漸平息，但安全威脅永遠不會消失，而且經常會更加兇猛。江民反病毒中心將持續關注病毒事件發展，在此，江民科技提醒廣大用戶和網友提高警惕，做好相應防範工作。江民網路版殺毒（企業版）和速智版殺毒（個人版）可以查殺該病毒，用戶更新到最新病毒庫即可查殺。

针对部分用户需求，江民科技还推出了了专杀工具，下载地址：
http://filedown.jiangmin.com/MS17-010/Petya勒索病毒专杀.exe

使用專殺工具一鍵解決Petya勒索病毒

2、病毒描述
江民反病毒實驗室研究發現，這次攻擊是勒索病毒Petya的新變種，這一變種的傳播組合採用了郵件、下載器和蠕蟲的方式。該病毒依舊通過MS17-010（永恆之藍）漏洞和系統弱密碼進行傳播，江民反病毒中心已經獲取了本次病毒的樣本名稱Trojan.RansomPetya.a。據悉，該病毒和勒索軟體很類似，都是遠程鎖定設備，然後索要贖金，還會獲取系統用戶名與密碼進行內網傳播。中毒電腦啟動後顯示支付價值300美元比特幣的界面，無法正常登入系統。

江民反病毒專家表示，Petya病毒已確認是通過永恆之藍漏洞進行傳播，攻擊手段也十分類似，但也有一些不同之處：
該病毒不再加密單個文件而是加密NTFS分區、覆蓋MBR、阻止機器正常啟動，影響更加嚴重。攻擊者通過發送惡意的求職郵件進行魚叉攻擊。
Petya和其他流行勒索軟體不一樣，它是通過攻擊底層的磁盤架構達到無法訪問整個系統的目的。惡意軟體的作者不僅創建了自身的引導程序，而且還創建了一個微型的內核，長度為32節區。Petya釋放的文件向磁盤頭部寫入惡意代碼，被感染系統的主引導記錄被引導加載程序重寫，並且加載一個微型惡意內核。接著，這個內核開始進行加密。Petya聲稱加密了所有的磁盤，但事實不是這樣。相反它只加密了主文件表，因此文件系統不可讀。
該變種疑似採用了郵件、下載器和蠕蟲的組合傳播方式。病毒採用CVE-2017-0199漏洞的RTF格式附件進行郵件投放，之後釋放Downloader來獲取病毒母體，形成初始擴散節點，之後通過MS17-010（永恆之藍）漏洞和系統弱密碼進行傳播。同時初步分析其可能具有感染域控制器後提取域內機器密碼的能力。因此其對內網具有一定的穿透能力，對內網安全總體上比此前受到廣泛關注的WannaCry有更大的威脅。
3 、如何防禦？
江民安全專家建議用戶做好以下防範措施：
1 、補丁修復
目前微軟已發出補丁，下載地址如下：
https://support.microsoft.com/zh-tw/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms會看到CVE-2017-8543、CVE-2017-8464的漏洞編號，找到相應版本的補丁進行下載（目前XP、Window2003不受影響），並執行相應主機及個人電腦的補丁升級。
2 、添加郵件閘道黑名單
在原有的黑名單上，增加如下後綴：.lnk及.link。用戶下載文件包中如發現包含有異常的附件（本次是.lnk/.link的文件），則必須注意該附件的安全，在無法確定其安全性的前提下，提醒用戶不要打開；
3 、升級防毒軟體病毒庫，江民防毒軟體已經全面防禦Petya病毒及類似勒索病毒；
4 、禁用WMI服務；
5 、提升用戶信息安全意識度
本次新勒索病毒變種，雖然是利了微軟Windows系統的新系統漏洞，但其感染源頭依然是通過電子郵件向用戶發送勒索病毒文件的形式（或者是用戶主動下載帶病毒的軟體並打開），所以提升用戶信息安全意識度是關鍵的應對措施之一。