被称为Petya的病毒正在欧洲、美国和南美洲地区大肆传播。
文 | 高小倩
曾席卷全球150多个国家的WannaCry勒索病毒带来的恐慌刚刚平息,一种新的似乎更为猛烈的病毒又悄然而至了。
6月28日早间,多家外媒报道,一种新的类似于WannaCry的勒索病毒——被称为Petya的病毒正在欧洲、美国和南美洲地区大肆传播。
这一病毒不仅袭击了纽约、鹿特丹和阿根廷的港口运营系统,而且也破坏了基辅的政府系统。另外,该病毒也让媒体公司WPP、石油公司Rosneft以及核设施公司Maersk的运营系统瘫痪。
据莫斯科网络安全公司Group-IB透露,目前为止,已经有2000多名用户被攻击。其中,仅俄罗斯和乌克兰两国就有80多家公司被Petya病毒感染,而且许多电信运营商和零售商也遭到了此新病毒的攻击。
乌克兰内政部部长顾问安东-格拉斯申科(Anton Gerashchenko)通过Facebook称,此次病毒入侵堪称“乌克兰史上最大规模的病毒攻击”。他还称,黑客此次攻击目的就是“要扰乱乌克兰的经济形势和公民意识,尽管此攻击伪装成敲诈阴谋”。
另外,俄罗斯石油公司Rosneft也通过声明称,该公司由于顺利转换到“管理生产流程的备份系统”而避免了此次黑客 攻击所带来的“严重后果”。据知情人士透露,英国媒体公司 WPP 已经直接将公司网站关闭,而且员工被告知关闭电脑并且不要使用WiFi。
此外,腾讯电脑管家和360安全中心也都确认目前国内企业也有中招。
事实上,在27号18点左右,腾讯安全云鼎实验室发现相关样本在国内出现,而腾讯电脑管家也第一时间发出技术分析报告并提供解决方案拦截查杀。
Petya又是一种什么样的勒索病毒?
据介绍,Petya勒索病毒的传播方式与今年5月爆发的WannaCry病毒非常相似。
根据腾讯安全云鼎实验室确认,这是一种类似于“WannaCry”的勒索病毒新变种,传播方式与“WannaCry”类似,其利用EternalBlue(永恒之蓝)和OFFICE OLE机制漏洞(CVE-2017-0199)进行传播,同时还具备局域网传播手法。
言外之意,Petya勒索病毒变种的传播速度更快,它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。
云鼎实验室还发现病毒采用多种感染方式,其中通过邮件投毒的方式有定向攻击的特性,在目标中毒后会在内网横向渗透,通过下载更多载体进行内网探测。
在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。
对此,360首席安全工程师郑文彬告诉36氪:
“Petya勒索病毒最早出现在2016年初,以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁”。
他还表示,该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR,病毒会进一步加密文档、视频等磁盘文件。
与WannaCry类似,解锁Petya病毒也需要支付加密的数字货币。据莫斯科网络安全公司Group-IB介绍,这种病毒锁住电脑后,要求用户支付300美元的加密数字货币才能解锁。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款,其“吸金”速度完全超越了Wannacry。
但最新消息显示,由于病毒作者的勒索邮箱已经被封,现在交赎金也无法恢复系统。
另外,36氪此前曾报道,即便受害用户支付了赎金,被锁定的文件等内容也不一定能恢复。这是因为:
赎回流程中存在漏洞,黑客可能并不知道是谁付的赎金以及到底该给谁解密。另外,难上加难的是,赎金返回时可能已经被另一个黑客劫持,也就是我们通常说的“黑吃黑”。
