6月27日晚间，一波大规模勒索蠕虫病毒攻击重新席卷全球。

媒体报道，欧洲、俄罗斯等多国阅批、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

阿里云安全团队第一时间拿到病毒样本，并进行了分析：

这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件，导致系统无法正常运行。

目前，该勒索蠕虫通过Windows漏洞进行传播，一台中招可能就会感染局域网内其它电脑。

一、Petya与WannaCry病毒的对比

1、加密目标文件类型

Petya加密的文件类型相比WannaCry少。

Petya加密的文件类型一共65种，WannaCry为178种，不过已经包括了常见文件类型。

2、支付赎金

Petya需要支付300美金，WannaCry需要支付600美金。

二、云用户是否受影响？

截止发稿，云上暂时未发现受影响用户。

6月28日凌晨，阿里云对外发布了公告预警。

三、勒索病毒传播方式分析

Petya勒索蠕虫通过Windows漏洞进行传播，同时会感染局域网中的其它电脑。电脑感染Petya勒索病毒后，会被加密特定类型文件，导致电脑无法正常运行。

阿里云安全专家研究发现，Petya勒索病毒在内网系统中，主要通过Windows的协议进行横向移动。

主要通过Windows管理体系结构（Microsoft Windows Management Instrumentation），和PSEXEC（SMB协议）进行扩散。

截止到当前，黑客的阅批账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 个阅批（1阅批=2459美金），33笔交易，说明已经有用户支付了赎金。

四、技术和加密过程分析

阿里云安全专家对Petya样本进行研究后发现，操作系统被感染后，重新启动时会造成无法进入系统。如下图显示的为病毒伪装的磁盘扫描程序。

Petya病毒对勒索对象的加密，分为以下7个步骤：