Microsoft列出了通过Microsoft Azure预防和检测Petya R

　　Petya(或NotPetya)勒索软件(或非勒索软件) - 这是过去两个月中第二起全球勒索软件攻击事件。彼佳，从乌克兰开始，然后迅速蔓延到欧洲和世界其他地方。这个勒索软件加密硬盘的索引页，直到受害者支付比特币300美元的赎金。Microsoft在博客文章中分享了通过Azure安全中心为其客户预防和检测Petya的过程。

　　Petya Ransomare网络攻击

　　Petya勒索软件与Wannacry攻击非常相似，事实上，它遵循相同的模式。勒索软件锁定了计算机的文件，并要求300美元的比特币作为赎金来解锁数据。到目前为止，它已经覆盖了大约65个国家的12,000多台机器。一旦系统遭到入侵，勒索软件就会采取以下步骤

　　将消息写入原始磁盘分区。

　　使用Wevtutil清除Windos事件日志

　　重新启动机器

　　加密匹配文件扩展名列表的文件(包括.3ds，.7z，.adb，.ai，.asp，.aspx，.avhd，.back，.bak，.c，.cfg，.conf，.cpp ,. cs，.ctl，.dbf，.disk，.djvu，.doc，.docx，.dg，.eml，.fdb，.gz，.h，.hdd，.kdbx，.mail，.mdb，.msg， .nrg，.ora，.ost，.ova，.ovf，.pdf，.php，.pmf .ppt，.pptx，.pst，.pvi，.py .pyc，.rar，.rtf，.sln ,. sql，.tar，.vbox，.vbs，.vcb，.vdi，.vfd，.vmc，.vmdk，.vmsd，.vmx，.vsdx，.vsv，.ork，.xls，.xlsx，.xvd，和.zip)

　　利用WMI或PsExec进行传播

　　在用户的屏幕上显示文本消息，要求赎回文件恢复。

　　在Microsoft Azure安全中心中预防Petya

　　部署端点保护

　　Azure安全中心跨Azure订阅运行针对虚拟机的扫描。然后，它建议在未检测到现有解决方案的情况下部署端点保护，这可以通过“预防”部分进行访问。

　　计算窗格

　　“计算”窗格详细显示端点保护状态。这包括安装Endpoint Protection的建议。

　　选择和安装

　　单击Compute Pane上的建议后，用户将进入一个对话框，允许选择和安装端点保护解决方案，包括Microsoft自己的反恶意软件解决方案。

　　可用性

　　Azure安全中心免费套餐客户可以访问这些建议和连接的缓解步骤。

　　在Microsoft Azure安全中心检测Petya

　　标准层Azure安全中心的检测功能

　　标准层Azure安全中心客户可以从最近添加的新检测功能中获益。此功能专门针对与受感染主机上运行的Petya勒索软件相关的特定指标发出警报。用户可以通过“检测”窗格访问安全警报。

　　Petya Ransomare警报

　　Petya勒索软件的警报显示如图所示。要查看受影响的VM和可疑进程或命令行用户需要单击警报的详细信息。

　　将修复步骤应用于所有

　　虽然检测警报与特定主机有关，但Microsoft建议将修复步骤应用于网络上所有主机上的所有主机。这是彼佳试图传播到附近的其他机器。