6月27日，一種名為“Petya”的新型勒索病毒席捲了歐洲，烏克蘭等國家，多家銀行和公司，包括政府大樓的電腦都出現問題。

同時，在27號18點左右，騰訊雲聯合騰訊電腦管家發現相關樣本在國內出現，騰訊雲已實時啟動使用者防護引導，到目前為止，雲上使用者尚無感染案例，但建議沒打補丁使用者儘快打補丁避免感染風險。

經雲鼎實驗室確認，這是一種類似於“WannaCry”的勒索病毒新變種，傳播方式與“WannaCry”類似，其利用EternalBlue（永恆之藍）和OFFICE OLE機制漏洞（CVE-2017-0199）進行傳播，同時還具備區域網傳播手法。

騰訊雲主機防護產品雲鏡已實時檢測該蠕蟲，雲鼎實驗室將持續關注該事件和病毒動態，第一時間更新相關資訊，請及時關注，修復相關漏洞，避免遭受損失。

病毒特徵

在中了該病毒後，電腦將會被鎖住，出現以下勒索提示資訊，並要求支付300美元的比特幣才能解鎖。

影響範圍

通過分析，我們發現病毒採用多種感染方式，其中通過郵件投毒的方式有定向攻擊的特性，在目標中毒後會在內網橫向滲透，通過下載更多載體進行內網探測。

網路管理員可通過，監測相關域名/IP，攔截病毒下載，統計內網感染分佈：
84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
COFFEINOFFICE.XYZ
french-cooking.com

網路管理員可通過如下關鍵HASH排查內網感染情況：

415fe69bf32634ca98fa07633f4118e1
0487382a4daf8eb9660f1c67e30f8b25
a1d5895f85751dfe67d19cccb51b051a
71b6a493388e7d0b40c83ce903bc6b04

防護方案

經過確認，勒索病毒是利用EternalBlue進行傳播，可以採用以下方案進行防護和查殺：

1、 騰訊雲使用者請確保安裝和開啟雲鏡主機保護系統，雲鏡可對海量主機集中管理，進行補丁修復，病毒監測。

2、 更新EternalBlue&CVE-2017-0199對應漏洞補丁

補丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

3、 終端使用者使用電腦管家進行查殺和防護

電腦管家已支援對EternalBlue的免疫和補丁修復，也支援對該病毒的查殺，可以直接開啟電腦管家進行防護和查殺。