比“想哭”傳播速度快、攻擊力更強的Petya病毒,是個什么鬼?

責任編輯:editor005

作者:高小倩

2017-06-28 11:34:48

摘自:36kr

曾席卷全球150多個國家的WannaCry勒索病毒帶來的恐慌剛剛平息,一種新的似乎更為猛烈的病毒又悄然而至了。6月28日早間,多家外媒報道,一種新的類似于WannaCry的勒索病毒——被稱為Petya的病毒正在歐洲、美國和南美洲地區(qū)大肆傳播。

 

曾席卷全球150多個國家的WannaCry勒索病毒帶來的恐慌剛剛平息,一種新的似乎更為猛烈的病毒又悄然而至了。

6月28日早間,多家外媒報道,一種新的類似于WannaCry的勒索病毒——被稱為Petya的病毒正在歐洲、美國和南美洲地區(qū)大肆傳播。

這一病毒不僅襲擊了紐約、鹿特丹和阿根廷的港口運營系統(tǒng),而且也破壞了基輔的政府系統(tǒng)。另外,該病毒也讓媒體公司W(wǎng)PP、石油公司Rosneft以及核設(shè)施公司Maersk的運營系統(tǒng)癱瘓。

據(jù)莫斯科網(wǎng)絡(luò)安全公司Group-IB透露,目前為止,已經(jīng)有2000多名用戶被攻擊。其中,僅俄羅斯和烏克蘭兩國就有80多家公司被Petya病毒感染,而且許多電信運營商和零售商也遭到了此新病毒的攻擊。

烏克蘭內(nèi)政部部長顧問安東-格拉斯申科(Anton Gerashchenko)通過Facebook稱,此次病毒入侵堪稱“烏克蘭史上最大規(guī)模的病毒攻擊”。他還稱,黑客此次攻擊目的就是“要擾亂烏克蘭的經(jīng)濟形勢和公民意識,盡管此攻擊偽裝成敲詐陰謀”。

另外,俄羅斯石油公司Rosneft也通過聲明稱,該公司由于順利轉(zhuǎn)換到“管理生產(chǎn)流程的備份系統(tǒng)”而避免了此次黑客 攻擊所帶來的“嚴重后果”。據(jù)知情人士透露,英國媒體公司 WPP 已經(jīng)直接將公司網(wǎng)站關(guān)閉,而且員工被告知關(guān)閉電腦并且不要使用WiFi。

此外,騰訊電腦管家和360安全中心也都確認目前國內(nèi)企業(yè)也有中招。事實上,在27號18點左右,騰訊安全云鼎實驗室發(fā)現(xiàn)相關(guān)樣本在國內(nèi)出現(xiàn),而騰訊電腦管家也第一時間發(fā)出技術(shù)分析報告并提供解決方案攔截查殺。

Petya又是一種什么樣的勒索病毒?

據(jù)介紹,Petya勒索病毒的傳播方式與今年5月爆發(fā)的WannaCry病毒非常相似。

根據(jù)騰訊安全云鼎實驗室確認,這是一種類似于“WannaCry”的勒索病毒新變種,傳播方式與“WannaCry”類似,其利用EternalBlue(永恒之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進行傳播,同時還具備局域網(wǎng)傳播手法。

言外之意,Petya勒索病毒變種的傳播速度更快,它不僅使用了NSA“永恒之藍”等黑客武器攻擊系統(tǒng)漏洞,還會利用“管理員共享”功能在內(nèi)網(wǎng)自動滲透。

云鼎實驗室還發(fā)現(xiàn)病毒采用多種感染方式,其中通過郵件投毒的方式有定向攻擊的特性,在目標中毒后會在內(nèi)網(wǎng)橫向滲透,通過下載更多載體進行內(nèi)網(wǎng)探測。

在歐洲國家重災區(qū),新病毒變種的傳播速度達到每10分鐘感染5000余臺電腦,多家運營商、石油公司、零售商、機場、ATM機等企業(yè)和公共設(shè)施已大量淪陷,甚至烏克蘭副總理的電腦也遭到感染。

對此,360首席安全工程師鄭文彬告訴36氪:“Petya勒索病毒最早出現(xiàn)在2016年初,以前主要利用電子郵件傳播。最新爆發(fā)的類似Petya的病毒變種則具備了全自動化的攻擊能力,即使電腦打齊補丁”。

他還表示,該病毒會加密磁盤主引導記錄(MBR),導致系統(tǒng)被鎖死無法正常啟動,然后在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR,病毒會進一步加密文檔、視頻等磁盤文件。

與WannaCry類似,解鎖Petya病毒也需要支付加密的數(shù)字貨幣。據(jù)莫斯科網(wǎng)絡(luò)安全公司Group-IB介紹,這種病毒鎖住電腦后,要求用戶支付300美元的加密數(shù)字貨幣才能解鎖。根據(jù)比特幣交易市場的公開數(shù)據(jù)顯示,病毒爆發(fā)最初一小時就有10筆贖金付款,其“吸金”速度完全超越了Wannacry。

但最新消息顯示,由于病毒作者的勒索郵箱已經(jīng)被封,現(xiàn)在交贖金也無法恢復系統(tǒng)。

另外,36氪此前曾報道,即便受害用戶支付了贖金,被鎖定的文件等內(nèi)容也不一定能恢復。這是因為:

贖回流程中存在漏洞,黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時可能已經(jīng)被另一個黑客劫持,也就是我們通常說的“黑吃黑”。

有分析人士認為,未來勒索病毒的感染范圍還將繼續(xù)擴大。而且很不幸的是,被感染的系統(tǒng)需要很長時間來恢復。

上次的WannaCry勒索病毒已經(jīng)拉響網(wǎng)絡(luò)安全的警報

今年5月12日,WannaCry勒索病毒爆發(fā),全球150多個國家的數(shù)10萬臺電腦被感染。

而且該病毒選擇的對象大多是一些公司和機構(gòu),包括英國醫(yī)療系統(tǒng)、快遞公司FedEx、俄羅斯電信公司Megafon、中國校園網(wǎng)、多家能源企業(yè)、政府機構(gòu)等。

之所以選擇這些大機構(gòu),有人認為是因為這些機構(gòu)比較有支付能力。在電腦被感染后,如果想要恢復被鎖定的文件,則需要支付300美元的加密數(shù)字貨幣,3天后不交贖金就漲價到600美元,7天后不交贖金就撕票,被鎖的重要文件將被永久銷毀。

來自騰訊反病毒實驗室的數(shù)據(jù)顯示,截止5月18日,已有約200個受害者付款,價值37萬元的比特幣被轉(zhuǎn)到黑客賬戶。

隨著互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的普及,幾乎所有的事情都可以通過網(wǎng)絡(luò)來解決。網(wǎng)絡(luò)帶來了便利性,但其中的風險也不容低估。來自Verizon Communications的數(shù)據(jù)顯示,勒索病毒事件在不斷上升,2016年增長50%。

勒索病毒為什么越來越多?正如鄭文彬此前告訴36氪的,“勒索病毒并非是一種病毒,而是一種商業(yè)模式,只要網(wǎng)絡(luò)環(huán)境中有財產(chǎn)可被獲取,就會出現(xiàn)無盡的變種”。而且目前對勒索病毒還沒有一個特別好的解決的方法,只能提前防御。

阿里云吳翰清曾表示,其實阿里云在去年下半年,通過云上數(shù)據(jù)監(jiān)控,就已經(jīng)預測勒索軟件會在今年大規(guī)模爆發(fā)。如今,勒索軟件盛行碰上高危漏洞,兩個事件湊在一起,就導致該起事件爆發(fā)。

他預計,未來出現(xiàn)類似大規(guī)模事件的概率,會越來越高:我可以負責任地說,這絕對不是第一次,這只是剛剛開始,我預計今年還會有還會有三到四次類似規(guī)模的事件。

根據(jù)多家官方權(quán)威介紹,WannaCry勒索病毒發(fā)行者是利用了去年被盜的NSA自主設(shè)計的Windows系統(tǒng)黑客工具永恒之藍(Eternal Blue),將今年2月的一款病毒升級所致。

而且這也并非勒索病毒首次爆發(fā),2013年勒索病毒就出現(xiàn)了,只不過當時是通過郵件、掛馬傳播,2015年開始進入爆發(fā)期,目前已經(jīng)有超過100種勒索病毒家族存在。

WannaCry、Petya兩大勒索病毒已經(jīng)敲響安全警鐘,各大企業(yè)和機構(gòu)以及個人需要盡快“亡羊補牢”了。

曾席卷全球150多個國家的WannaCry勒索病毒帶來的恐慌剛剛平息,一種新的似乎更為猛烈的病毒又悄然而至了。

6月28日早間,多家外媒報道,一種新的類似于WannaCry的勒索病毒——被稱為Petya的病毒正在歐洲、美國和南美洲地區(qū)大肆傳播。

這一病毒不僅襲擊了紐約、鹿特丹和阿根廷的港口運營系統(tǒng),而且也破壞了基輔的政府系統(tǒng)。另外,該病毒也讓媒體公司W(wǎng)PP、石油公司Rosneft以及核設(shè)施公司Maersk的運營系統(tǒng)癱瘓。

據(jù)莫斯科網(wǎng)絡(luò)安全公司Group-IB透露,目前為止,已經(jīng)有2000多名用戶被攻擊。其中,僅俄羅斯和烏克蘭兩國就有80多家公司被Petya病毒感染,而且許多電信運營商和零售商也遭到了此新病毒的攻擊。

烏克蘭內(nèi)政部部長顧問安東-格拉斯申科(Anton Gerashchenko)通過Facebook稱,此次病毒入侵堪稱“烏克蘭史上最大規(guī)模的病毒攻擊”。他還稱,黑客此次攻擊目的就是“要擾亂烏克蘭的經(jīng)濟形勢和公民意識,盡管此攻擊偽裝成敲詐陰謀”。

另外,俄羅斯石油公司Rosneft也通過聲明稱,該公司由于順利轉(zhuǎn)換到“管理生產(chǎn)流程的備份系統(tǒng)”而避免了此次黑客 攻擊所帶來的“嚴重后果”。據(jù)知情人士透露,英國媒體公司W(wǎng)PP 已經(jīng)直接將公司網(wǎng)站關(guān)閉,而且員工被告知關(guān)閉電腦并且不要使用WiFi。

此外,騰訊電腦管家和360安全中心也都確認目前國內(nèi)企業(yè)也有中招。事實上,在27號18點左右,騰訊安全云鼎實驗室發(fā)現(xiàn)相關(guān)樣本在國內(nèi)出現(xiàn),而騰訊電腦管家也第一時間發(fā)出技術(shù)分析報告并提供解決方案攔截查殺。

Petya又是一種什么樣的勒索病毒?

據(jù)介紹,Petya勒索病毒的傳播方式與今年5月爆發(fā)的WannaCry病毒非常相似。

根據(jù)騰訊安全云鼎實驗室確認,這是一種類似于“WannaCry”的勒索病毒新變種,傳播方式與“WannaCry”類似,其利用EternalBlue(永恒之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進行傳播,同時還具備局域網(wǎng)傳播手法。

言外之意,Petya勒索病毒變種的傳播速度更快,它不僅使用了NSA“永恒之藍”等黑客武器攻擊系統(tǒng)漏洞,還會利用“管理員共享”功能在內(nèi)網(wǎng)自動滲透。

云鼎實驗室還發(fā)現(xiàn)病毒采用多種感染方式,其中通過郵件投毒的方式有定向攻擊的特性,在目標中毒后會在內(nèi)網(wǎng)橫向滲透,通過下載更多載體進行內(nèi)網(wǎng)探測。

在歐洲國家重災區(qū),新病毒變種的傳播速度達到每10分鐘感染5000余臺電腦,多家運營商、石油公司、零售商、機場、ATM機等企業(yè)和公共設(shè)施已大量淪陷,甚至烏克蘭副總理的電腦也遭到感染。

對此,360首席安全工程師鄭文彬告訴36氪:“Petya勒索病毒最早出現(xiàn)在2016年初,以前主要利用電子郵件傳播。最新爆發(fā)的類似Petya的病毒變種則具備了全自動化的攻擊能力,即使電腦打齊補丁”。

他還表示,該病毒會加密磁盤主引導記錄(MBR),導致系統(tǒng)被鎖死無法正常啟動,然后在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR,病毒會進一步加密文檔、視頻等磁盤文件。

與WannaCry類似,解鎖Petya病毒也需要支付加密的數(shù)字貨幣。據(jù)莫斯科網(wǎng)絡(luò)安全公司Group-IB介紹,這種病毒鎖住電腦后,要求用戶支付300美元的加密數(shù)字貨幣才能解鎖。根據(jù)比特幣交易市場的公開數(shù)據(jù)顯示,病毒爆發(fā)最初一小時就有10筆贖金付款,其“吸金”速度完全超越了Wannacry。

但最新消息顯示,由于病毒作者的勒索郵箱已經(jīng)被封,現(xiàn)在交贖金也無法恢復系統(tǒng)。

另外,36氪此前曾報道,即便受害用戶支付了贖金,被鎖定的文件等內(nèi)容也不一定能恢復。這是因為:

贖回流程中存在漏洞,黑客可能并不知道是誰付的贖金以及到底該給誰解密。另外,難上加難的是,贖金返回時可能已經(jīng)被另一個黑客劫持,也就是我們通常說的“黑吃黑”。

有分析人士認為,未來勒索病毒的感染范圍還將繼續(xù)擴大。而且很不幸的是,被感染的系統(tǒng)需要很長時間來恢復。

上次的WannaCry勒索病毒已經(jīng)拉響網(wǎng)絡(luò)安全的警報

今年5月12日,WannaCry勒索病毒爆發(fā),全球150多個國家的數(shù)10萬臺電腦被感染。

而且該病毒選擇的對象大多是一些公司和機構(gòu),包括英國醫(yī)療系統(tǒng)、快遞公司FedEx、俄羅斯電信公司Megafon、中國校園網(wǎng)、多家能源企業(yè)、政府機構(gòu)等。

之所以選擇這些大機構(gòu),有人認為是因為這些機構(gòu)比較有支付能力。在電腦被感染后,如果想要恢復被鎖定的文件,則需要支付300美元的加密數(shù)字貨幣,3天后不交贖金就漲價到600美元,7天后不交贖金就撕票,被鎖的重要文件將被永久銷毀。

來自騰訊反病毒實驗室的數(shù)據(jù)顯示,截止5月18日,已有約200個受害者付款,價值37萬元的比特幣被轉(zhuǎn)到黑客賬戶。

隨著互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的普及,幾乎所有的事情都可以通過網(wǎng)絡(luò)來解決。網(wǎng)絡(luò)帶來了便利性,但其中的風險也不容低估。來自Verizon Communications的數(shù)據(jù)顯示,勒索病毒事件在不斷上升,2016年增長50%。

勒索病毒為什么越來越多?正如鄭文彬此前告訴36氪的,“勒索病毒并非是一種病毒,而是一種商業(yè)模式,只要網(wǎng)絡(luò)環(huán)境中有財產(chǎn)可被獲取,就會出現(xiàn)無盡的變種”。而且目前對勒索病毒還沒有一個特別好的解決的方法,只能提前防御。

阿里云吳翰清曾表示,其實阿里云在去年下半年,通過云上數(shù)據(jù)監(jiān)控,就已經(jīng)預測勒索軟件會在今年大規(guī)模爆發(fā)。如今,勒索軟件盛行碰上高危漏洞,兩個事件湊在一起,就導致該起事件爆發(fā)。

他預計,未來出現(xiàn)類似大規(guī)模事件的概率,會越來越高:我可以負責任地說,這絕對不是第一次,這只是剛剛開始,我預計今年還會有還會有三到四次類似規(guī)模的事件。

根據(jù)多家官方權(quán)威介紹,WannaCry勒索病毒發(fā)行者是利用了去年被盜的NSA自主設(shè)計的Windows系統(tǒng)黑客工具永恒之藍(Eternal Blue),將今年2月的一款病毒升級所致。

而且這也并非勒索病毒首次爆發(fā),2013年勒索病毒就出現(xiàn)了,只不過當時是通過郵件、掛馬傳播,2015年開始進入爆發(fā)期,目前已經(jīng)有超過100種勒索病毒家族存在。

WannaCry、Petya兩大勒索病毒已經(jīng)敲響安全警鐘,各大企業(yè)和機構(gòu)以及個人需要盡快“亡羊補牢”了。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號