曾席卷全球150多個(gè)國(guó)家的WannaCry勒索病毒帶來的恐慌剛剛平息，一種新的似乎更為猛烈的病毒又悄然而至了。

6月28日早間，多家外媒報(bào)道，一種新的類似于WannaCry的勒索病毒——被稱為Petya的病毒正在歐洲、美國(guó)和南美洲地區(qū)大肆傳播。

這一病毒不僅襲擊了紐約、鹿特丹和阿根廷的港口運(yùn)營(yíng)系統(tǒng)，而且也破壞了基輔的政府系統(tǒng)。另外，該病毒也讓媒體公司W(wǎng)PP、石油公司Rosneft以及核設(shè)施公司Maersk的運(yùn)營(yíng)系統(tǒng)癱瘓。

圖片來源：視覺中國(guó)

據(jù)莫斯科網(wǎng)絡(luò)安全公司Group-IB透露，目前為止，已經(jīng)有2000多名用戶被攻擊。其中，僅俄羅斯和烏克蘭兩國(guó)就有80多家公司被Petya病毒感染，而且許多電信運(yùn)營(yíng)商和零售商也遭到了此新病毒的攻擊。

烏克蘭內(nèi)政部部長(zhǎng)顧問安東-格拉斯申科（Anton Gerashchenko）通過Facebook稱，此次病毒入侵堪稱“烏克蘭史上最大規(guī)模的病毒攻擊”。他還稱，黑客此次攻擊目的就是“要擾亂烏克蘭的經(jīng)濟(jì)形勢(shì)和公民意識(shí)，盡管此攻擊偽裝成敲詐陰謀”。

另外，俄羅斯石油公司Rosneft也通過聲明稱，該公司由于順利轉(zhuǎn)換到“管理生產(chǎn)流程的備份系統(tǒng)”而避免了此次黑客 攻擊所帶來的“嚴(yán)重后果”。據(jù)知情人士透露，英國(guó)媒體公司 WPP 已經(jīng)直接將公司網(wǎng)站關(guān)閉，而且員工被告知關(guān)閉電腦并且不要使用WiFi。

此外，騰訊電腦管家和360安全中心也都確認(rèn)目前國(guó)內(nèi)企業(yè)也有中招。事實(shí)上，在27號(hào)18點(diǎn)左右，騰訊安全云鼎實(shí)驗(yàn)室發(fā)現(xiàn)相關(guān)樣本在國(guó)內(nèi)出現(xiàn)，而騰訊電腦管家也第一時(shí)間發(fā)出技術(shù)分析報(bào)告并提供解決方案攔截查殺。

Petya又是一種什么樣的勒索病毒？

據(jù)介紹，Petya勒索病毒的傳播方式與今年5月爆發(fā)的WannaCry病毒非常相似。

根據(jù)騰訊安全云鼎實(shí)驗(yàn)室確認(rèn)，這是一種類似于“WannaCry”的勒索病毒新變種，傳播方式與“WannaCry”類似，其利用EternalBlue（永恒之藍(lán)）和OFFICE OLE機(jī)制漏洞（CVE-2017-0199）進(jìn)行傳播，同時(shí)還具備局域網(wǎng)傳播手法。

言外之意，Petya勒索病毒變種的傳播速度更快，它不僅使用了NSA“永恒之藍(lán)”等黑客武器攻擊系統(tǒng)漏洞，還會(huì)利用“管理員共享”功能在內(nèi)網(wǎng)自動(dòng)滲透。

云鼎實(shí)驗(yàn)室還發(fā)現(xiàn)病毒采用多種感染方式，其中通過郵件投毒的方式有定向攻擊的特性，在目標(biāo)中毒后會(huì)在內(nèi)網(wǎng)橫向滲透，通過下載更多載體進(jìn)行內(nèi)網(wǎng)探測(cè)。

在歐洲國(guó)家重災(zāi)區(qū)，新病毒變種的傳播速度達(dá)到每10分鐘感染5000余臺(tái)電腦，多家運(yùn)營(yíng)商、石油公司、零售商、機(jī)場(chǎng)、ATM機(jī)等企業(yè)和公共設(shè)施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。

對(duì)此，360首席安全工程師鄭文彬告訴36氪：“Petya勒索病毒最早出現(xiàn)在2016年初，以前主要利用電子郵件傳播。最新爆發(fā)的類似Petya的病毒變種則具備了全自動(dòng)化的攻擊能力，即使電腦打齊補(bǔ)丁”。

他還表示，該病毒會(huì)加密磁盤主引導(dǎo)記錄（MBR），導(dǎo)致系統(tǒng)被鎖死無法正常啟動(dòng)，然后在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會(huì)進(jìn)一步加密文檔、視頻等磁盤文件。

與WannaCry類似，解鎖Petya病毒也需要支付加密的數(shù)字貨幣。據(jù)莫斯科網(wǎng)絡(luò)安全公司Group-IB介紹，這種病毒鎖住電腦后，要求用戶支付300美元的加密數(shù)字貨幣才能解鎖。根據(jù)比特幣交易市場(chǎng)的公開數(shù)據(jù)顯示，病毒爆發(fā)最初一小時(shí)就有10筆贖金付款，其“吸金”速度完全超越了Wannacry。

但最新消息顯示，由于病毒作者的勒索郵箱已經(jīng)被封，現(xiàn)在交贖金也無法恢復(fù)系統(tǒng)。

另外，36氪此前曾報(bào)道，即便受害用戶支付了贖金，被鎖定的文件等內(nèi)容也不一定能恢復(fù)。這是因?yàn)椋?/p>

贖回流程中存在漏洞，黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外，難上加難的是，贖金返回時(shí)可能已經(jīng)被另一個(gè)黑客劫持，也就是我們通常說的“黑吃黑”。

有分析人士認(rèn)為，未來勒索病毒的感染范圍還將繼續(xù)擴(kuò)大。而且很不幸的是，被感染的系統(tǒng)需要很長(zhǎng)時(shí)間來恢復(fù)。

上次的WannaCry勒索病毒已經(jīng)拉響網(wǎng)絡(luò)安全的警報(bào)

今年5月12日，WannaCry勒索病毒爆發(fā)，全球150多個(gè)國(guó)家的數(shù)10萬臺(tái)電腦被感染。

而且該病毒選擇的對(duì)象大多是一些公司和機(jī)構(gòu)，包括英國(guó)醫(yī)療系統(tǒng)、快遞公司FedEx、俄羅斯電信公司Megafon、中國(guó)校園網(wǎng)、多家能源企業(yè)、政府機(jī)構(gòu)等。

之所以選擇這些大機(jī)構(gòu)，有人認(rèn)為是因?yàn)檫@些機(jī)構(gòu)比較有支付能力。在電腦被感染后，如果想要恢復(fù)被鎖定的文件，則需要支付300美元的加密數(shù)字貨幣，3天后不交贖金就漲價(jià)到600美元，7天后不交贖金就撕票，被鎖的重要文件將被永久銷毀。

來自騰訊反病毒實(shí)驗(yàn)室的數(shù)據(jù)顯示，截止5月18日，已有約200個(gè)受害者付款，價(jià)值37萬元的比特幣被轉(zhuǎn)到黑客賬戶。

隨著互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的普及，幾乎所有的事情都可以通過網(wǎng)絡(luò)來解決。網(wǎng)絡(luò)帶來了便利性，但其中的風(fēng)險(xiǎn)也不容低估。來自Verizon Communications的數(shù)據(jù)顯示，勒索病毒事件在不斷上升，2016年增長(zhǎng)50%。

勒索病毒為什么越來越多？正如鄭文彬此前告訴36氪的，“勒索病毒并非是一種病毒，而是一種商業(yè)模式，只要網(wǎng)絡(luò)環(huán)境中有財(cái)產(chǎn)可被獲取，就會(huì)出現(xiàn)無盡的變種”。而且目前對(duì)勒索病毒還沒有一個(gè)特別好的解決的方法，只能提前防御。

阿里云吳翰清曾表示，其實(shí)阿里云在去年下半年，通過云上數(shù)據(jù)監(jiān)控，就已經(jīng)預(yù)測(cè)勒索軟件會(huì)在今年大規(guī)模爆發(fā)。如今，勒索軟件盛行碰上高危漏洞，兩個(gè)事件湊在一起，就導(dǎo)致該起事件爆發(fā)。

他預(yù)計(jì)，未來出現(xiàn)類似大規(guī)模事件的概率，會(huì)越來越高：我可以負(fù)責(zé)任地說，這絕對(duì)不是第一次，這只是剛剛開始，我預(yù)計(jì)今年還會(huì)有還會(huì)有三到四次類似規(guī)模的事件。

根據(jù)多家官方權(quán)威介紹，WannaCry勒索病毒發(fā)行者是利用了去年被盜的NSA自主設(shè)計(jì)的Windows系統(tǒng)黑客工具永恒之藍(lán)（Eternal Blue），將今年2月的一款病毒升級(jí)所致。

而且這也并非勒索病毒首次爆發(fā)，2013年勒索病毒就出現(xiàn)了，只不過當(dāng)時(shí)是通過郵件、掛馬傳播，2015年開始進(jìn)入爆發(fā)期，目前已經(jīng)有超過100種勒索病毒家族存在。

WannaCry、Petya兩大勒索病毒已經(jīng)敲響安全警鐘，各大企業(yè)和機(jī)構(gòu)以及個(gè)人需要盡快“亡羊補(bǔ)牢”了。

原創(chuàng)文章，作者：高小倩，如若轉(zhuǎn)載，請(qǐng)注明出處：http://36kr.com/p/5081393.html