Trojan/DOS.Petya[Ransom]的首个样本在2021年06月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是加密或锁定用户设备中的文件，同时使其无法访问。它得名于其行为通过加密或锁定用户的文件，迫使用户支付赎金以恢复文件的访问权限。该特洛伊木马变种数量有1种，但却经历了大量的免杀加工，以至样本Hash数量近156。目前Trojan/DOS.Petya[Ransom]存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
利用漏洞传播：该病毒利用操作系统或软件的漏洞进行传播，通过网络传播或通过恶意下载文件感染其他系统。
文件加密：一旦感染系统，病毒会加密用户的重要文件，包括文档、图片、视频等，使其无法正常打开和使用。
勒索要求：病毒会显示勒索信息，要求用户支付一定数量的比特币或其他加密货币作为赎金，才能解密被加密的文件。
对抗杀软：Trojan/DOS.Petya[Ransom]具有对抗杀软的功能，可以绕过杀软的检测和防护机制，保证其自身的存活和传播。
损坏系统启动记录：病毒会破坏系统的启动记录，导致系统无法正常启动，需要采取修复措施才能使系统恢复正常。
后门功能：该病毒还具有后门功能，可以远程控制被感染的系统，进一步进行恶意活动。
样本格式分布
格式类别 占比 格式描述
BinExecute 96.43% 用于执行二进制文件的工具或实用程序
Archive 2.86% 将文件或数据进行压缩和存储
Text 0.71% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet W32/Petya.E!tr.ransom
Microsoft Ransom:Win32/Petya.C
ESET-NOD32 Win32/Diskcoder.Petya.E
典型变种

Trojan/DOS.Petya.a[Ransom]
典型样本

类型 值
MD5 0e467c1dc9464703cbd6f3ca6f0e28e1
MD5 1cf2b0167229a1a659ccab1f13564a21
MD5 36bbb212a11db70f44c72e207beffbd1
MD5 4db127b90dd43bbbf3ba1ffdb0e75f11
MD5 40998146132b83b316d2df860fe02641
解决方案

更新操作系统和软件：及时安装操作系统和软件的安全补丁，修复已知漏洞，防止病毒利用漏洞进行传播。
使用可靠的安全软件：选择权威的杀毒软件，并及时更新病毒库，确保病毒能够被及时识别和清除。
避免打开可疑链接和下载未知软件：不轻易点击来历不明的链接，不下载未知来源的软件，预防感染来源不明的病毒。
备份重要文件：定期备份重要文件到可靠的外部存储设备，确保在系统被感染时能够恢复文件，减少被勒索的风险。
注意邮件和文件的安全：不打开来历不明的邮件附件，不随意点击可疑的文件链接，预防通过邮件传播的病毒。
使用防火墙和网络安全工具：配置防火墙，限制病毒的传播，使用网络安全工具进行实时监控和检测，尽早发现并清除病毒。