新勒索病毒Petya 資誠教企業7招防範

Petya 勒索病毒於 6 月 27 日再度大規模攻擊 Windows 作業系統，資誠企業管理顧問公司執行董事張晉瑞表示，Petya 的主要入侵管道依然是惡意郵件或惡意連結，企業應提昇員工的安全意識，避免開啟惡意郵件附件或下載不明檔案，方能有效避免病毒入侵，他並建議企業可做 7 招來防範。

首先，除了微軟於 3 月份公告的 MS17-010 重大安全性更新外，企業應確保於 4 月及 5 月經微軟公告的所有重大的安全性更新皆已部署執行完畢。

其次，停用所有 SMB 外部存取權限 (停用 port 137, 139 及 445 的內部網路存取) ，以及停用所有 SMBv1 的檔案分享服務。

第三，禁止未經微軟數位簽章的 Microsoft Office 檔案巨集的執行權限；第四，禁止未執行 MS17-010 重大安全性更新的電腦主機連結企業核心網路；第五，禁止訪客網路 (guest network) 存取企業核心網路的所有權限。

第六，強制所有電腦主機更新至最新的病毒資料庫；第七，隔離所有遭感染的設備，避免病毒傳播。

張晉瑞表示，從攻擊的方式來看，電腦主機遭 WannCry 入侵後，使用者還可以使用電腦，僅是無法存取被加密的檔案，但是一旦遭 Petya 入侵，整個硬碟就會被加密鎖死，電腦就無法使用了，這是 Petya 攻擊威脅遠較 前次掀起風波的 WannaCry 嚴重的原因之一。

此外，Petya 會對超過 60 種不同類型的檔案格式進行加密，如企業常用的 C、C++、Python、VBScript 等程式碼，VMDK、VMX、VBOX 等虛擬主機檔案格式，企業常用的郵件格式如 EML、MSG、PST 等也是受攻擊的目標。相較於 WannaCry，Petya 的攻擊目標更針對企業環境，這也是企業需要更為小心防範的原因。

張晉瑞提醒，企業倘若平時沒有確實做好資料備份工作，一旦 Petya 入侵，後果會非常嚴重。據了解，勒索訊息中提及的電子郵件地址已被停用，使用者即使付了贖金，可能也聯絡不上駭客而拿不回解密金鑰。