6月27日晚間,包括俄羅斯、印度、英國、法國及其它歐洲多個(gè)國家受到Petya勒索病毒的襲擊。據(jù)twitter上的爆料稱,烏克蘭副總理的電腦甚至也遭到了攻擊。據(jù)外媒報(bào)道,政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場都不同程度的受到了該病毒的影響。
根據(jù)賽門鐵克最新發(fā)布的消息顯示,Petya勒索病毒攻擊時(shí)仍然使用了“永恒之藍(lán)”勒索漏洞,同時(shí),此病毒還會(huì)獲取系統(tǒng)用戶名與密碼進(jìn)行內(nèi)網(wǎng)傳播。據(jù)搜狐科技從國內(nèi)安全廠商360、騰訊獲得的消息,Petya勒索病毒已經(jīng)開始在國內(nèi)開始傳播。
來自360安全監(jiān)測與響應(yīng)中心的病毒分析報(bào)告顯示,Petya和傳統(tǒng)的勒索軟件不同,不會(huì)對電腦中的每個(gè)文件都進(jìn)行加密,而是通過加密硬盤驅(qū)動(dòng)器主文件表(MFT),使主引導(dǎo)記錄(MBR)不可操作,通過占用物理磁盤上的文件名,大小和位置的信息來限制對完整系統(tǒng)的訪問,從而讓電腦無法啟動(dòng)。如果想要恢復(fù),需要支付價(jià)值相當(dāng)于300美元的比特幣。
被感染的機(jī)器屏幕會(huì)顯示如下的告知付贖金的界面:
360安全工程師稱,與5月初爆發(fā)的Wannacry相比,Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA“永恒之藍(lán)”等黑客武器攻擊系統(tǒng)漏洞,還會(huì)利用“管理員共享”功能在內(nèi)網(wǎng)自動(dòng)滲透。在歐洲國家重災(zāi)區(qū),新病毒變種的傳播速度達(dá)到每10分鐘感染5000余臺(tái)電腦。最新爆發(fā)的類似Petya的病毒變種具備了全自動(dòng)化的攻擊能力,即使電腦打齊補(bǔ)丁,也可能被內(nèi)網(wǎng)其他機(jī)器滲透感染,必須開啟專業(yè)安全軟件進(jìn)行攔截,才能確保電腦不會(huì)中毒。
據(jù)騰訊安全反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn),病毒樣本運(yùn)行之后,會(huì)枚舉內(nèi)網(wǎng)中的電腦,并嘗試在135、139、445等端口使用SMB協(xié)議進(jìn)行連接。同時(shí),病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū),當(dāng)電腦重啟時(shí),病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦,執(zhí)行文件加密等惡意操作。電腦重啟后,會(huì)顯示一個(gè)偽裝的界面,假稱正在進(jìn)行磁盤掃描,實(shí)際上正在對磁盤數(shù)據(jù)進(jìn)行加密操作。加密完成后,病毒才露出真正的嘴臉,要求受害者支付贖金。
5月12日,WannaCry勒索軟件大規(guī)模爆發(fā)。這個(gè)病毒利用了NSA黑客武器庫中的“永恒之藍(lán)”Windows漏洞,在超過100多個(gè)國家獲得傳播,幾十萬臺(tái)電腦受感染。WannaCry病毒甚至影響到了部分政府機(jī)構(gòu)的正常工作,而在校園教育網(wǎng)里傳播尤其嚴(yán)重。由于利用了新的安全漏洞,且受Windows XP裝機(jī)量及已經(jīng)不再受微軟免費(fèi)安全支持的影響,WannaCry成為近幾年來首個(gè)獲得大規(guī)模傳播的勒索軟件病毒。
據(jù)了解,最早的勒索軟件是1989年由Joseph Popp制作的"AIDS" 木馬病毒。這個(gè)病毒通過軟盤傳播,加密磁盤上的文件,要求受害人繳納189美元解除鎖定。自2005年以來,勒索軟件再度流行開來。自2006年以來,讓受害者支付300美元才能取得文件解鎖密碼,似乎已經(jīng)成為勒索軟件病毒的行規(guī)。
據(jù)搜狐科技了解,目前國內(nèi)外各大安全廠商都已經(jīng)升級了其安全軟件的病毒庫,用戶通過自動(dòng)或手動(dòng)升級安全軟件病毒庫,即可查殺Petya勒索病毒及其變種。安全廠商建議用戶,不要隨意打開doc、rtf等后綴的附件。同時(shí),內(nèi)網(wǎng)中存在使用相同賬號、密碼情況的機(jī)器請盡快修改密碼,未開機(jī)的電腦請確認(rèn)口令修改完畢、補(bǔ)丁安裝完成后再進(jìn)行聯(lián)網(wǎng)操作。