Petya免疫工具是針對目前互聯(lián)網(wǎng)上出現(xiàn)Windows操作系統(tǒng)的勒索病毒的免疫修復的工具。此勒索病毒利用此前披露的Windows SMB服務漏洞RTF漏洞攻擊手段，修改系統(tǒng)的MBR引導扇區(qū)，當電腦重啟時，病毒代碼會在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。每臺電腦和服務器上面都是需要的，希望用戶重視起來。

使用方法

打開文件夾，雙擊“Petya免疫工具.exe”。等待自動檢測。

大約分鐘檢測完成即可。

基本簡介

Petya免疫工具是針對互聯(lián)網(wǎng)上出現(xiàn)Windows操作系統(tǒng)的勒索病毒的免疫修復的工具。此勒索病毒利用此前披露的Windows SMB服務漏洞（微軟 <http://stock.finance.sina.com.cn/usstock/quotes/MSFT.html>漏洞公告：MS17-010）和（CVE-2017-0199）RTF漏洞攻擊手段，修改系統(tǒng)的MBR引導扇區(qū)，當電腦重啟時，病毒代碼會在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。

病毒介紹

27日晚間，名為“Petya”的勒索病毒在全球范圍內(nèi)爆發(fā)。據(jù)外媒HackerNews報道，27日晚間消息，烏克蘭境內(nèi)包括國家儲蓄銀行 (Oschadbank)、Privatbank 銀行在內(nèi)的幾家銀行機構、 電力公司 KyivEnergo 、國家郵政（UkrPoshta）均遭受Petya病毒的大規(guī)模網(wǎng)絡攻擊。

目前，Petya病毒已經(jīng)侵襲了烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多個國家。

病毒分析

經(jīng)過深信服千里目安全研究團隊研究發(fā)現(xiàn)，Petya勒索病毒是一種新型病毒，主要采用郵件釣魚、蠕蟲等組合進行傳播。在傳播過程中主要涉及Windows兩個重要漏洞。

漏洞一：（CVE-2017-0199)RTF漏洞

CVE-2017-0199允許攻擊者利用此漏洞誘使用戶打開處理特殊構造的Office文件在用戶系統(tǒng)上執(zhí)行任意命令，從而控制用戶系統(tǒng)。

簡單來講，就是攻擊者可以將惡意代碼嵌入Word等Office文檔中，在無需用戶交互的情況下，打開Word文檔就可以通過自動執(zhí)行任意代碼。在通常的攻擊場景下，用戶收到一個包含惡意代碼的Office文件 （不限于RTF格式的Word文件，可能為PPT類的其他Office文檔），點擊嘗試打開文件時會從惡意網(wǎng)站下載特定的 HTA程序執(zhí)行，從而使攻擊者獲取控制。

在本次Petya勒索病毒事件中，攻擊者首先利用CVE-2017-0199漏洞通過郵件方式進行釣魚投毒，建立初始擴散節(jié)點。

漏洞二：MS17-010（永恒之藍）SMB漏洞

MS17-010（永恒之藍）SMB漏洞是今年4月方程式組織泄露的重要漏洞之一。

“永恒之藍”利用Windows SMB遠程提權漏洞，可以攻擊開放了445 端口的 Windows 系統(tǒng)并提升至系統(tǒng)權限。

TCP 端口 445在WindowsServer系統(tǒng)中提供局域網(wǎng)中文件或打印機共享服務，攻擊者與445端口建立請求連接，能夠獲得指定局域網(wǎng)內(nèi)的各種共享信息。

在通過RTF漏洞建立初始擴散節(jié)點后可利用MS17-010（永恒之藍）SMB漏洞感染局域網(wǎng)中開放445端口建立共享服務的所有機器。

功能介紹

特性一：疫苗免疫：

通過已經(jīng)捕獲到的病毒文件，對病毒感染原理進行分析，了解病毒會先判斷機器是否已經(jīng)感染過，如果已經(jīng)感染過就不進行后續(xù)流程。因此增加已經(jīng)感染過的疫苗處理，加強系統(tǒng)對已知病毒的免疫能力。

特性二：操作系統(tǒng)關鍵補丁包檢測

針對Windows SMB服務漏洞（微軟漏洞公告：MS17-010）的關鍵補丁深度檢測

特性三：（僅針對個人PC）一鍵暫停微軟網(wǎng)絡共享服務

增加系統(tǒng)防火墻規(guī)則

關閉TCP/UDP端口135、139、445（SMB服務相關端口）

特性三 可能帶來影響說明！

1、自動啟用關閉狀態(tài)的PC防火墻，默認產(chǎn)生應用拒絕策略，可能導致本可使用的個人PC應用無法使用

2、同時自動關閉上述端口操作，在規(guī)避隱患同時會導致系統(tǒng)某些服務停止，例如：打印機、共享文件夾等應用。

支持系統(tǒng)

個人PC系統(tǒng)：

Windows XP   （X86 / AMD64，支持特性一、特性二、特性三）

Windows 7     （X86 / AMD64，支持特性一、特性二、特性三）

Windows 8    （X86 / AMD64，支持特性一、特性二、特性三）

Windows 8.1   （X86 / AMD64，支持特性一、特性二、特性三）

Windows 10    （X86 / AMD64，支持特性一、特性二）

服務器系統(tǒng)：

Windows Server 2003 （X86 / AMD64，支持特性一、特性二）

Windows Server 2008 （X86 / AMD64，支持特性一、特性二）

Windows Server 2008 R2 （AMD64，支持特性一、特性二）

Windows Server 2012 （AMD64，支持特性一、特性二）

Windows Server 2016 （AMD64，支持特性一、特性二）

更新日志

Petya免疫工具是針對互聯(lián)網(wǎng)上出現(xiàn)Windows操作系統(tǒng)的勒索病毒的免疫修復的工具。

此勒索病毒利用此前披露的Windows SMB服務漏洞（微軟 漏洞公告：MS17-010）和（CVE-2017-0199）RTF漏洞攻擊手段，修改系統(tǒng)的MBR引導扇區(qū)，當電腦重啟時，病毒代碼會在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。