WannaCry鬼影再现，新一代勒索软件Petya从乌克兰开始蔓延

从本周二开始，研究人员发现一种新的勒索软件Petya（也称为Petrwrap）在全球范围内开始传播。迄今为止主要受害方是乌克兰的基础运营设施，如电力公司，机场，公共交通，中央银行等。同样受害的还有丹麦运输公司 Maersk；俄罗斯石油巨头 Rosnoft；印度，西班牙，法国，英国以及其他许多国家的运营机构。

Petya的传播之所以如此迅猛，主要在于它与最近大热的 WannaCry 勒索软件事件相似，都利用了美国国家安全局（NSA）的 EternalBlue 漏洞进行传播。

信息安全公司 Emsisoft 的研究员Fabian Wosar说：“它绝对是利用 EternalBlue来传播的。” 同时安全公司 Comae Technologies 的创始人 Matthieu Suiche 也在Twitter上写道：“我可以确认这就是翻版的 WannaCry。”

而据了解，从2016年起Petya勒索软件就开始了发散，并在 EternalBlue 漏洞的“助力”下加速传播。计算机一旦被该病毒感染，屏幕上就会显示出一段红色文字：

 “如果你正在读这段话，你将无法读取你的任何文件，因为它们已经全部被加密。如果你正在忙于寻找如何恢复这些文件，我们忠告你最好不要浪费时间，因为没有人可以在没有我们的解密服务的情况下恢复任何文件。”

最后，Petya会采取和 WannaCry 一样的做法——勒索300美元的比特币 。

图丨受病毒影响的乌克兰超市

虽然，早在 5月份 WannaCry 传播之前的两个月，微软就已经修复了 EternalBlue 漏洞。但根据 Petya 迄今造成的破坏程度看来，许多公司似乎不顾勒索软件的潜在破坏威胁，推迟了对漏洞的修补。而也恰恰是吸取了两次病毒攻击的教训，许多系统管理员终于决定将其系统升级为防御优先级。

不过，这一切似乎都显得无济于事，事实表明，依靠 EternalBlue 传播的 Petya 即便是官方补丁也难以修复。 McAfee 的研究员兼首席科学家 Raj Samani 指出，Petya 为了取得最大的影响很有可能使用了其他的传播方法。

更令人不安的是， WannaCry 至少还有一个“开关”，安全研究人员只要完全关闭它就能控制病毒的传播。 然而 Petya 貌似并没有这种开关，这就意味着人们对于 Petya 的肆意传播暂时还无能为力。

至于此轮攻击到底源自于哪里目前尚不明了。 Malware Hunter Team 分析小组的研究员说：“不知道为什么所有人首先会提到乌克兰，它明明在全球范围内都有出现。”

“我认为这次爆发的规模比起 WannaCry 要小得多，但感染的数量还是相当可观的，” Samani 说道。 “这就非常麻烦了，即便传播的没有那么广泛，但也相当值得关注。”

到目前为止，这轮袭击至今只造成了约3500美元的损失。 可能看上去没有多少。但这个数字一直在逐步上升，最终的结果还需要持续的跟踪观察。

-End-

编辑：胡雪羚

参考：https://www.wired.com/story/petya-ransomware-outbreak-eternal-blue/ 

欲知会员计划详情，请点击以上图片