曾席卷全球150多个国家的WannaCry勒索病毒带来的恐慌刚刚平息,一种新的似乎更为猛烈的病毒又悄然而至了。

6月28日早间,多家外媒报道,一种新的类似于WannaCry的勒索病毒——被称为Petya的病毒正在欧洲、美国和南美洲地区大肆传播。

这一病毒不仅袭击了纽约、鹿特丹和阿根廷的港口运营系统,而且也破坏了基辅的政府系统。另外,该病毒也让媒体公司WPP、石油公司Rosneft以及核设施公司Maersk的运营系统瘫痪。

据莫斯科网络安全公司Group-IB透露,目前为止,已经有2000多名用户被攻击。其中,仅俄罗斯和乌克兰两国就有80多家公司被Petya病毒感染,而且许多电信运营商和零售商也遭到了此新病毒的攻击。

乌克兰内政部部长顾问安东-格拉斯申科(Anton Gerashchenko)通过Facebook称,此次病毒入侵堪称“乌克兰史上最大规模的病毒攻击”。他还称,黑客此次攻击目的就是“要扰乱乌克兰的经济形势和公民意识,尽管此攻击伪装成敲诈阴谋”。

另外,俄罗斯石油公司Rosneft也通过声明称,该公司由于顺利转换到“管理生产流程的备份系统”而避免了此次黑客 攻击所带来的“严重后果”。据知情人士透露,英国媒体公司 WPP 已经直接将公司网站关闭,而且员工被告知关闭电脑并且不要使用WiFi。

此外,腾讯电脑管家和360安全中心也都第一时间确认目前国内企业也有中招。事实上,在27号18点左右,腾讯安全云鼎实验室发现相关样本在国内出现。

Petya又是一种什么样的勒索病毒?

据介绍,Petya勒索病毒的传播方式与今年5月爆发的WannaCry病毒非常相似。

根据腾讯安全云鼎实验室确认,这是一种类似于“WannaCry”的勒索病毒新变种,传播方式与“WannaCry”类似,其利用EternalBlue(永恒之蓝)和OFFICE OLE机制漏洞(CVE-2017-0199)进行传播,同时还具备局域网传播手法。

言外之意,Petya勒索病毒变种的传播速度更快,它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。

云鼎实验室还发现病毒采用多种感染方式,其中通过邮件投毒的方式有定向攻击的特性,在目标中毒后会在内网横向渗透,通过下载更多载体进行内网探测。

在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。

对此,360首席安全工程师郑文彬告诉36氪:“Petya勒索病毒最早出现在2016年初,以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁”。

他还表示,该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR,病毒会进一步加密文档、视频等磁盘文件。

与WannaCry类似,解锁Petya病毒也需要支付加密的数字货币。据莫斯科网络安全公司Group-IB介绍,这种病毒锁住电脑后,要求用户支付300美元的加密数字货币才能解锁。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款,其“吸金”速度完全超越了Wannacry。

但最新消息显示,由于病毒作者的勒索邮箱已经被封,现在交赎金也无法恢复系统。

另外,36氪此前曾报道,即便受害用户支付了赎金,被锁定的文件等内容也不一定能恢复。这是因为:

赎回流程中存在漏洞,黑客可能并不知道是谁付的赎金以及到底该给谁解密。另外,难上加难的是,赎金返回时可能已经被另一个黑客劫持,也就是我们通常说的“黑吃黑”。

有分析人士认为,未来勒索病毒的感染范围还将继续扩大。而且很不幸的是,被感染的系统需要很长时间来恢复。

上次的WannaCry勒索病毒已经拉响网络安全的警报

今年5月12日,WannaCry勒索病毒爆发,全球150多个国家的数10万台电脑被感染。

而且该病毒选择的对象大多是一些公司和机构,包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon、中国校园网、多家能源企业、政府机构等。

之所以选择这些大机构,有人认为是因为这些机构比较有支付能力。在电脑被感染后,如果想要恢复被锁定的文件,则需要支付300美元的加密数字货币,3天后不交赎金就涨价到600美元,7天后不交赎金就撕票,被锁的重要文件将被永久销毁。

来自腾讯反病毒实验室的数据显示,截止5月18日,已有约200个受害者付款,价值37万元的比特币被转到黑客账户。

随着互联网和移动互联网的普及,几乎所有的事情都可以通过网络来解决。网络带来了便利性,但其中的风险也不容低估。来自Verizon Communications的数据显示,勒索病毒事件在不断上升,2016年增长50%。

勒索病毒为什么越来越多?正如郑文彬此前告诉36氪的,“勒索病毒并非是一种病毒,而是一种商业模式,只要网络环境中有财产可被获取,就会出现无尽的变种”。而且目前对勒索病毒还没有一个特别好的解决的方法,只能提前防御。

阿里云吴翰清曾表示,其实阿里云在去年下半年,通过云上数据监控,就已经预测勒索软件会在今年大规模爆发。如今,勒索软件盛行碰上高危漏洞,两个事件凑在一起,就导致该起事件爆发。

他预计,未来出现类似大规模事件的概率,会越来越高:我可以负责任地说,这绝对不是第一次,这只是刚刚开始,我预计今年还会有还会有三到四次类似规模的事件。

根据多家官方权威介绍,WannaCry勒索病毒发行者是利用了去年被盗的NSA自主设计的Windows系统黑客工具永恒之蓝(Eternal Blue),将今年2月的一款病毒升级所致。

而且这也并非勒索病毒首次爆发,2013年勒索病毒就出现了,只不过当时是通过邮件、挂马传播,2015年开始进入爆发期,目前已经有超过100种勒索病毒家族存在。

WannaCry、Petya两大勒索病毒已经敲响安全警钟,各大企业和机构以及个人需要尽快“亡羊补牢”了。

比“想哭”传播速度快、攻击力更强的Petya病毒,是个什么鬼?

发表评论

电子邮件地址不会被公开。 必填项已用*标注