6月28日消息 據(jù)外媒(Ars Technica)報道,一個類似WannaCry病毒的新型勒索病毒在本周二爆發(fā),至少80家大型公司受到影響,其中包括制藥大廠默克集團、國際航運公司馬士基、律師事務所DLA Piper、英國廣告公司W(wǎng)PP以及零食公司億滋國際。安全公司稱已有至少1.2萬臺電腦在本輪攻擊中中招。
本次爆發(fā)的病毒被一些研究人員稱為“PetyaWrap”,病毒借助高效的傳播手段,可以攻破網(wǎng)絡防護,迅速感染網(wǎng)絡內(nèi)的計算機。與令人心有余悸的WannaCry一樣,PetyaWrap也利用了Windows系統(tǒng)中的“永恒之藍”漏洞。永恒之藍據(jù)傳首先由美國國家安全局(NSA)發(fā)現(xiàn),NSA在漏洞基礎(chǔ)上秘密開發(fā)并囤積間諜工具,不料這批工具有一天會失竊,并被黑客泄露到互聯(lián)網(wǎng)上。
卡巴斯基實驗室發(fā)布的一篇博文稱,周二爆發(fā)的病毒同時利用了另一個被稱作“永恒浪漫”(EternalRomance)的NSA漏洞。微軟早在3月針對以上漏洞發(fā)布了修復補丁,不幸很多機構(gòu)電腦更新滯后,給了日后的病毒可乘之機。自稱“影子經(jīng)紀人”(Shadow Brokers)的黑客組織在補丁發(fā)布一個月后將這些NSA黑客工具公布在網(wǎng)上。人們將這些惡意軟件形容為“網(wǎng)絡軍火”,任何進具備中等計算機技術(shù)的人便能夠使用這些惡意軟件發(fā)動大規(guī)模攻擊。
除了利用新漏洞,PetyaWrap還有其他令人印象深刻的改進。根據(jù)卡巴斯基實驗室的說法,病毒還使用Mimikatz黑客工具從同一網(wǎng)絡內(nèi)的其他計算機上提取密碼。憑借這些密碼,病毒可以通過PSExec遠程工具或其他命令行途徑感染網(wǎng)絡中的其他電腦。意味著即便用戶封堵了“永恒之藍”和“永恒浪漫”漏洞,仍無法對新病毒免疫。在受攻擊最嚴重的烏克蘭,病毒還借助MeDoc軟件的更新機制提升自己的感染效率。安全人員描述MeDoc軟件本身受到攻擊,惡意軟件隨后通過軟件更新機制進行傳播。
定位最初受害者
卡巴斯基表示,MeDoc是整個攻擊鏈中最初的感染點,思科安全團隊Talos在博文中對此表示贊成,并指出攻擊與烏克蘭稅收系統(tǒng)軟件MeDoc更新機制之間的聯(lián)系。另一家安全軟件公司Eset將MeDoc描述為“全球泛濫全面啟動的起點”。推特上一則尚未被證實的分析也認為MeDoc軟件的更新機制遭到入侵在本輪病毒傳播中發(fā)揮了關(guān)鍵作用。
MeDoc網(wǎng)站上對此的表述含混不清:
“注意!
我們的服務器發(fā)動了病毒攻擊。
我們?yōu)閹淼牟槐阒虑浮?rdquo;
許多分析師將這篇帖子解釋為MeDoc承認了自己無意中在病毒傳播中發(fā)揮了作用。不過有個別MeDoc員工出面反駁這種武斷認定。
在被病毒感染后,電腦會在一小時之內(nèi)重啟。電腦在重啟后顯示數(shù)據(jù)遭鎖定,只有支付價值300美元的比特幣才能解鎖。普通用戶可以在感覺事情不對時搶先斷電中斷病毒加密進程,等待專業(yè)安全人員進行恢復。
銀行、電力公司和機場遭殃
媒體報道病毒對世界各地多處機構(gòu)的正常運行帶來干擾,烏克蘭受害情況尤為嚴重。據(jù)報道,烏克蘭的地鐵網(wǎng)絡、電力公司、政府部門、機場、銀行、媒體和國有企業(yè)均報告了病毒攻擊。切爾諾貝利核設施的檢測系統(tǒng)也受到影響。路透社發(fā)布的一張照片顯示,烏克蘭國家儲蓄銀行(Oschadbank)的一個ATM取款機被鎖定,屏幕上顯示需要付費才能解鎖。烏克蘭國內(nèi)主要能源企業(yè)Ukrenergo也報告IT系統(tǒng)受到攻擊,不過表示電力供應不受影響。彭博社報道烏克蘭物流公司Nova Poshta因受到攻擊而無法正常投遞包裹。烏克蘭中央銀行在其官網(wǎng)上警告稱數(shù)家銀行成為黑客的攻擊目標。
在上月爆發(fā)的WannaCry病毒中,英國一位年輕研究員無意中發(fā)現(xiàn)了病毒的自毀代碼,成功組織病毒蔓延。如今研究人員表示,人們可能無法在本輪病毒中再次發(fā)現(xiàn)幸運開關(guān)。
“WannaCry有許多愚蠢的bug。”研究員Kevin Beaumont在推特上發(fā)文稱。他認為WannaCry破壞力有限,似乎開發(fā)者受限于預算而沒能完善代碼。
有未經(jīng)證實的報告稱,新病毒對已安裝補丁的Windows 10電腦同樣奏效。Windows 10是迄今為止微軟最安全的系統(tǒng),本身并沒有“永恒之藍”漏洞。此外,這篇未經(jīng)證實的報告還指出,受感染的Windows 10電腦使用的反病毒軟件也未能防御病毒的攻擊。
卡巴斯基和另一家名為F-Secure的安全軟件廠商均認為,新病毒使用了經(jīng)過修改的永恒之藍漏洞。安全廠商Eset稱新病毒還使用了PSExec命令行工具。目前各種感染方式之間的確切關(guān)系尚不清楚。根據(jù)East的說法,病毒首先通過永恒之藍漏洞潛入網(wǎng)絡,隨后使用PSExec在電腦之間傳播。這一新式攻擊方式的組合可能解釋了為何新病毒能在全球普遍更新了WannaCry補丁之后還能爆發(fā)和快速蔓延的原因。“僅需借助一臺未打補丁的電腦進入網(wǎng)絡,惡意軟件就可以獲得管理員權(quán)限并感染其他電腦。”East研究員接受Ars Technica采訪時表示。
加密勒索+密碼盜竊雙重威脅
網(wǎng)絡安全機構(gòu)Recorded Future的研究員認為,周二爆發(fā)的病毒似乎同時進行了兩種不法行為。首先是病毒使用了新版本的Petya勒索軟件,這是一種最早在2016年年初出現(xiàn)的勒索軟件。另有多位研究員也表示新病毒是Petya的更新版本,卡巴斯基認為周二的病毒是一種此前從未見過的勒索病毒。不同于多數(shù)勒索病毒,PetyaWrap不加密單個文件,而是加密計算機的整個文件系統(tǒng)。
病毒攻擊電腦的主引導記錄,使計算機無法進入系統(tǒng),也無法加載其他關(guān)鍵組件。類似的加密手段也可見于此前的Petya勒索病毒中。周二的病毒以電腦數(shù)據(jù)為條件,向用戶勒索價值300美元的比特幣。
另外一個不法行為是病毒竊取計算機的用戶名和密碼,并上傳至黑客的服務器。這意味著,即便用戶無法使用被鎖定的電腦,黑客仍有辦法遠程訪問被加密的數(shù)據(jù),并有可能憑借這些數(shù)據(jù)進行二輪勒索。
周二的病毒在爆發(fā)后立即呈現(xiàn)蔓延之勢。病毒最先在烏克蘭和俄羅斯被發(fā)現(xiàn),隨后很快傳播到波蘭、意大利、西班牙、法國、印度和美國。英國廣告公司W(wǎng)PP在推特上表示旗下部分IT系統(tǒng)遭受病毒攻擊。律師事務所DLA Piper建議雇員將所有筆記本電腦從擴展塢斷開連接,并關(guān)閉所有電腦。反病毒軟件廠商Avast報告迄今為止已發(fā)現(xiàn)1.2萬次攻擊,安全公司Group-IB表示至少有80家公司的網(wǎng)絡受到感染。路透社報道,負責全球1/7集裝箱貨運量的馬士基物流集團遭病毒攻擊,多處站點和業(yè)務部門的IT系統(tǒng)陷入中斷。
新病毒的支付方式也不同以往。以往勒索病毒為每個電腦分配單獨的收款地址,但新病毒要求用戶在付款后用郵件發(fā)送其付款信息。不過黑客郵箱在病毒爆發(fā)數(shù)小時之后遭到封殺,致使億支付贖金的用戶也無法與黑客取得聯(lián)系。病毒未有遠程跟蹤和發(fā)送解鎖指令的跡象,這可能意味著黑客的真正目的是單純搞破壞,而非牟利。
根據(jù)卡巴斯基的統(tǒng)計,截止到太平洋時間周二上午,黑客一共收到24筆比特幣匯款,價值約6000美元。
新病毒爆發(fā)和傳播之迅速堪比WannaCry。上月肆虐全球的WannaCry在90多個國家感染了超過72.7萬臺計算機。WannaCry的蠕蟲病毒本質(zhì)讓其可以在相連接的計算機之間快速地自動傳播。本次爆發(fā)的PetyaWrap是否具有相同的自我復制能力尚不清楚,但已中招的電腦數(shù)量和更新的攻擊手段暗示PetyaWrap的威力可能不遜于WannaCry。