曾席卷全球150多个国家的WannaCry勒索病毒带来的恐慌刚刚平息,一种新的似乎更为猛烈的病毒又悄然而至了。
6月28日早间,多家外媒报道,一种新的类似于WannaCry的勒索病毒——被称为Petya的病毒正在欧洲、美国和南美洲地区大肆传播。
这一病毒不仅袭击了纽约、鹿特丹和阿根廷的港口运营系统,而且也破坏了基辅的政府系统。另外,该病毒也让媒体公司WPP、石油公司Rosneft以及核设施公司Maersk的运营系统瘫痪。
图片来源:视觉中国
据莫斯科网络安全公司Group-IB透露,目前为止,已经有2000多名用户被攻击。其中,仅俄罗斯和乌克兰两国就有80多家公司被Petya病毒感染,而且许多电信运营商和零售商也遭到了此新病毒的攻击。
乌克兰内政部部长顾问安东-格拉斯申科(Anton Gerashchenko)通过Facebook称,此次病毒入侵堪称“乌克兰史上最大规模的病毒攻击”。他还称,黑客此次攻击目的就是“要扰乱乌克兰的经济形势和公民意识,尽管此攻击伪装成敲诈阴谋”。
另外,俄罗斯石油公司Rosneft也通过声明称,该公司由于顺利转换到“管理生产流程的备份系统”而避免了此次黑客 攻击所带来的“严重后果”。据知情人士透露,英国媒体公司 WPP 已经直接将公司网站关闭,而且员工被告知关闭电脑并且不要使用WiFi。
此外,腾讯电脑管家和360安全中心也都确认目前国内企业也有中招。事实上,在27号18点左右,腾讯安全云鼎实验室发现相关样本在国内出现,而腾讯电脑管家也第一时间发出技术分析报告并提供解决方案拦截查杀。
Petya又是一种什么样的勒索病毒?
据介绍,Petya勒索病毒的传播方式与今年5月爆发的WannaCry病毒非常相似。
根据腾讯安全云鼎实验室确认,这是一种类似于“WannaCry”的勒索病毒新变种,传播方式与“WannaCry”类似,其利用EternalBlue(永恒之蓝)和OFFICE OLE机制漏洞(CVE-2017-0199)进行传播,同时还具备局域网传播手法。
言外之意,Petya勒索病毒变种的传播速度更快,它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。
云鼎实验室还发现病毒采用多种感染方式,其中通过邮件投毒的方式有定向攻击的特性,在目标中毒后会在内网横向渗透,通过下载更多载体进行内网探测。
在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。
对此,360首席安全工程师郑文彬告诉36氪:“Petya勒索病毒最早出现在2016年初,以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁”。
他还表示,该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR,病毒会进一步加密文档、视频等磁盘文件。
与WannaCry类似,解锁Petya病毒也需要支付加密的数字货币。据莫斯科网络安全公司Group-IB介绍,这种病毒锁住电脑后,要求用户支付300美元的加密数字货币才能解锁。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款,其“吸金”速度完全超越了Wannacry。
但最新消息显示,由于病毒作者的勒索邮箱已经被封,现在交赎金也无法恢复系统。
另外,36氪此前曾报道,即便受害用户支付了赎金,被锁定的文件等内容也不一定能恢复。这是因为:
赎回流程中存在漏洞,黑客可能并不知道是谁付的赎金以及到底该给谁解密。另外,难上加难的是,赎金返回时可能已经被另一个黑客劫持,也就是我们通常说的“黑吃黑”。
有分析人士认为,未来勒索病毒的感染范围还将继续扩大。而且很不幸的是,被感染的系统需要很长时间来恢复。
上次的WannaCry勒索病毒已经拉响网络安全的警报
今年5月12日,WannaCry勒索病毒爆发,全球150多个国家的数10万台电脑被感染。
而且该病毒选择的对象大多是一些公司和机构,包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon、中国校园网、多家能源企业、政府机构等。
之所以选择这些大机构,有人认为是因为这些机构比较有支付能力。在电脑被感染后,如果想要恢复被锁定的文件,则需要支付300美元的加密数字货币,3天后不交赎金就涨价到600美元,7天后不交赎金就撕票,被锁的重要文件将被永久销毁。
来自腾讯反病毒实验室的数据显示,截止5月18日,已有约200个受害者付款,价值37万元的比特币被转到黑客账户。
随着互联网和移动互联网的普及,几乎所有的事情都可以通过网络来解决。网络带来了便利性,但其中的风险也不容低估。来自Verizon Communications的数据显示,勒索病毒事件在不断上升,2016年增长50%。
勒索病毒为什么越来越多?正如郑文彬此前告诉36氪的,“勒索病毒并非是一种病毒,而是一种商业模式,只要网络环境中有财产可被获取,就会出现无尽的变种”。而且目前对勒索病毒还没有一个特别好的解决的方法,只能提前防御。
阿里云吴翰清曾表示,其实阿里云在去年下半年,通过云上数据监控,就已经预测勒索软件会在今年大规模爆发。如今,勒索软件盛行碰上高危漏洞,两个事件凑在一起,就导致该起事件爆发。
他预计,未来出现类似大规模事件的概率,会越来越高:我可以负责任地说,这绝对不是第一次,这只是刚刚开始,我预计今年还会有还会有三到四次类似规模的事件。
根据多家官方权威介绍,WannaCry勒索病毒发行者是利用了去年被盗的NSA自主设计的Windows系统黑客工具永恒之蓝(Eternal Blue),将今年2月的一款病毒升级所致。
而且这也并非勒索病毒首次爆发,2013年勒索病毒就出现了,只不过当时是通过邮件、挂马传播,2015年开始进入爆发期,目前已经有超过100种勒索病毒家族存在。
WannaCry、Petya两大勒索病毒已经敲响安全警钟,各大企业和机构以及个人需要尽快“亡羊补牢”了。
原创文章,作者:高小倩,如若转载,请注明出处:http://36kr.com/p/5081393.html
皖公网安备 34010202600669
