各有关单位:

        北京时间2017年6月27日晚，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇Petya勒索病毒袭击，政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。根据国家网络与信息安全通报中心通报，国内已有个别企业用户疑似遭到攻击，针对此次病毒的技术描述及防护建议如下：

        一、技术描述：

        此病毒使用的攻击方式与WannaCry类似，即使用了“永恒之蓝漏洞”进行扩散。在此基础上，该病毒还利用了Microsoft OfficeOLE处理漏洞，将恶意代码植入Office文档（包括但不限于RTF格式的Word文件，也可能为其他Office文档）进行伪装，同时还会利用已感染计算机的用户名、密码通过WMI服务尝试登陆内网其他终端进行传播。一旦感染，该病毒会通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名，大小和位置的信息来限制对完整系统的访问，从而使电脑无法启动。

         二、防护建议：

         1、安装并升级防病毒软件

         目前，中国石化统一部署的360天擎已经可以查杀该病毒，请务必确保所有终端已安装360天擎防病毒软件且病毒库更新至2017-06-28版本。

         2、安装补丁

         确保所有使用Windows操作系统的终端及服务器已经安装本次病毒所利用的漏洞补丁：

         Windows SMB漏洞（永恒之蓝，ms17-010），下载地址：

         https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

         Microsoft OfficeOLE漏洞（CVE-2017-0199），下载地址：

         https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

         3、关闭非必要的高危端口及服务

         由于此次病毒除了利用永恒之蓝的漏洞传播外，还会利用已感染计算机的用户名、密码通过WMI服务尝试登陆内网其他计算机进行传播，如非必须使用，应在防火墙上关闭TCP 135 端口并在计算机上停用WMI（Windows Management Instrumentation）服务，抑制病毒传播行为。

         4、提高防范意识

         告知所有用户不要轻易点击来源不明的邮件附件及移动介质中的文档，尤其是rtf、doc等格式。

         5、加强密码强度

         告知所有用户、管理员加强操作系统密码强度，避免出现“空密码”及“弱密码”，杜绝多台计算机使用相同密码的情况。

         请各单位务必高度重视病毒防范处置工作，持续按照集团“不留死角地对全部终端设备进行补丁安装”的统一要求开展补丁安装工作、停用非必要系统服务、采取有效访问控制措施、及时对重要数据进行备份，确保各应用系统、网络安全运行。

         请各单位发现感染病毒情况后及时向信息化管理中心报告。

         联系人：董京彬

         电  话：8773444

         邮  箱：g-secadmin.slyt@sinopec.com

                                   局信息化管理中心   

  2017年6月29日