1 概述 2017年6月27日，全球大规模爆发了利用Petya新变种的网络***，最先表示受到***的是乌克兰公司。当天，卡巴斯基实验室报道称法国、德国、意大利、波兰、英国和美国都出现感染，但大部分感染都针对俄罗斯和乌克兰，当中乌克兰超过80家公司最先遭受***，包括乌克兰国家银行。

Petya于2016年3月发现，NotPetya为Petya新变种。

2 危害及判断依据

（1）修改系统MBR引导扇区（2）强制重启后执行MBR引导扇区中的恶意代码（3）加密受害者硬盘数据后显示敲诈信息（4）通过Tor匿名网络索取比特币（5）Petya只是加密了主文件表（MFT），使文件系统不可读，来拒绝用户访问完整的系统。Petya采用RSA2048 + AES128的方式对文件进行加密，程序中硬编码RSA公钥文件，每一个盘符会生成一个AES128的会话密钥，该盘符所有文件均对该AES Key进行加密。新变种样本：（1）使用永恒之蓝传播（2）利用密码获取工具，获取后局域网***％Windir％\ dllhost.dat：PsExec的合法副本％AppData％\ dllhost.dat：PsExec的合法副本

3 处置建议

由于在感染Petya的过程中，病毒会先重启电脑加载恶意的磁盘主引导记录（MBR）来加密文件，这中间会启用一个伪造的加载界面。中招者如果能感知到重启异常，在引导界面启动系统前关机或拔掉电源，随后可以通过设置U盘或光盘第一顺序启动PE系统，使用PE系统修复MBR或者直接转移硬盘里的数据，可以在一定程度上避免文件的损失。加密文件不可修复。

4 样本

Petya:

MD5: af2379cc4d607a45ac44d62135fb7015

Detection: W32/Petr.A!trNotPetya:

MD5: 71b6a493388e7d0b40c83ce903bc6b04

Detection: W32/Petya.EOB!tr