曾席卷全球150多個(gè)國家的WannaCry勒索病毒帶來(lái)的恐慌剛剛平息，一種新的似乎更為猛烈的病毒又悄然而至了。

6月28日早間，多家外媒報道，一種新的類(lèi)似于WannaCry的勒索病毒——被稱(chēng)為Petya的病毒正在歐洲、美國和南美洲地區大肆傳播。

這一病毒不僅襲擊了紐約、鹿特丹和阿根廷的港口運營(yíng)系統，而且也破壞了基輔的政府系統。另外，該病毒也讓媒體公司W(wǎng)PP、石油公司Rosneft以及核設施公司Maersk的運營(yíng)系統癱瘓。

圖片來(lái)源：視覺(jué)中國

據莫斯科網(wǎng)絡(luò )安全公司Group-IB透露，目前為止，已經(jīng)有2000多名用戶(hù)被攻擊。其中，僅俄羅斯和烏克蘭兩國就有80多家公司被Petya病毒感染，而且許多電信運營(yíng)商和零售商也遭到了此新病毒的攻擊。

烏克蘭內政部部長(cháng)顧問(wèn)安東-格拉斯申科（Anton Gerashchenko）通過(guò)Facebook稱(chēng)，此次病毒入侵堪稱(chēng)“烏克蘭史上最大規模的病毒攻擊”。他還稱(chēng)，黑客此次攻擊目的就是“要擾亂烏克蘭的經(jīng)濟形勢和公民意識，盡管此攻擊偽裝成敲詐陰謀”。

另外，俄羅斯石油公司Rosneft也通過(guò)聲明稱(chēng)，該公司由于順利轉換到“管理生產(chǎn)流程的備份系統”而避免了此次黑客 攻擊所帶來(lái)的“嚴重后果”。據知情人士透露，英國媒體公司 WPP 已經(jīng)直接將公司網(wǎng)站關(guān)閉，而且員工被告知關(guān)閉電腦并且不要使用WiFi。

此外，騰訊電腦管家和360安全中心也都確認目前國內企業(yè)也有中招。事實(shí)上，在27號18點(diǎn)左右，騰訊安全云鼎實(shí)驗室發(fā)現相關(guān)樣本在國內出現，而騰訊電腦管家也第一時(shí)間發(fā)出技術(shù)分析報告并提供解決方案攔截查殺。

Petya又是一種什么樣的勒索病毒？

據介紹，Petya勒索病毒的傳播方式與今年5月爆發(fā)的WannaCry病毒非常相似。

根據騰訊安全云鼎實(shí)驗室確認，這是一種類(lèi)似于“WannaCry”的勒索病毒新變種，傳播方式與“WannaCry”類(lèi)似，其利用EternalBlue（永恒之藍）和OFFICE OLE機制漏洞（CVE-2017-0199）進(jìn)行傳播，同時(shí)還具備局域網(wǎng)傳播手法。

言外之意，Petya勒索病毒變種的傳播速度更快，它不僅使用了NSA“永恒之藍”等黑客武器攻擊系統漏洞，還會(huì )利用“管理員共享”功能在內網(wǎng)自動(dòng)滲透。

云鼎實(shí)驗室還發(fā)現病毒采用多種感染方式，其中通過(guò)郵件投毒的方式有定向攻擊的特性，在目標中毒后會(huì )在內網(wǎng)橫向滲透，通過(guò)下載更多載體進(jìn)行內網(wǎng)探測。

在歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000余臺電腦，多家運營(yíng)商、石油公司、零售商、機場(chǎng)、ATM機等企業(yè)和公共設施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。

對此，360首席安全工程師鄭文彬告訴36氪：“Petya勒索病毒最早出現在2016年初，以前主要利用電子郵件傳播。最新爆發(fā)的類(lèi)似Petya的病毒變種則具備了全自動(dòng)化的攻擊能力，即使電腦打齊補丁”。

他還表示，該病毒會(huì )加密磁盤(pán)主引導記錄（MBR），導致系統被鎖死無(wú)法正常啟動(dòng)，然后在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會(huì )進(jìn)一步加密文檔、視頻等磁盤(pán)文件。

與WannaCry類(lèi)似，解鎖Petya病毒也需要支付加密的數字貨幣。據莫斯科網(wǎng)絡(luò )安全公司Group-IB介紹，這種病毒鎖住電腦后，要求用戶(hù)支付300美元的加密數字貨幣才能解鎖。根據比特幣交易市場(chǎng)的公開(kāi)數據顯示，病毒爆發(fā)最初一小時(shí)就有10筆贖金付款，其“吸金”速度完全超越了Wannacry。

但最新消息顯示，由于病毒作者的勒索郵箱已經(jīng)被封，現在交贖金也無(wú)法恢復系統。

另外，36氪此前曾報道，即便受害用戶(hù)支付了贖金，被鎖定的文件等內容也不一定能恢復。這是因為：

贖回流程中存在漏洞，黑客可能并不知道是誰(shuí)付的贖金以及到底該給誰(shuí)解密。另外，難上加難的是，贖金返回時(shí)可能已經(jīng)被另一個(gè)黑客劫持，也就是我們通常說(shuō)的“黑吃黑”。

有分析人士認為，未來(lái)勒索病毒的感染范圍還將繼續擴大。而且很不幸的是，被感染的系統需要很長(cháng)時(shí)間來(lái)恢復。

上次的WannaCry勒索病毒已經(jīng)拉響網(wǎng)絡(luò )安全的警報

今年5月12日，WannaCry勒索病毒爆發(fā)，全球150多個(gè)國家的數10萬(wàn)臺電腦被感染。

而且該病毒選擇的對象大多是一些公司和機構，包括英國醫療系統、快遞公司FedEx、俄羅斯電信公司Megafon、中國校園網(wǎng)、多家能源企業(yè)、政府機構等。

之所以選擇這些大機構，有人認為是因為這些機構比較有支付能力。在電腦被感染后，如果想要恢復被鎖定的文件，則需要支付300美元的加密數字貨幣，3天后不交贖金就漲價(jià)到600美元，7天后不交贖金就撕票，被鎖的重要文件將被永久銷(xiāo)毀。

來(lái)自騰訊反病毒實(shí)驗室的數據顯示，截止5月18日，已有約200個(gè)受害者付款，價(jià)值37萬(wàn)元的比特幣被轉到黑客賬戶(hù)。

隨著(zhù)互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的普及，幾乎所有的事情都可以通過(guò)網(wǎng)絡(luò )來(lái)解決。網(wǎng)絡(luò )帶來(lái)了便利性，但其中的風(fēng)險也不容低估。來(lái)自Verizon Communications的數據顯示，勒索病毒事件在不斷上升，2016年增長(cháng)50%。

勒索病毒為什么越來(lái)越多？正如鄭文彬此前告訴36氪的，“勒索病毒并非是一種病毒，而是一種商業(yè)模式，只要網(wǎng)絡(luò )環(huán)境中有財產(chǎn)可被獲取，就會(huì )出現無(wú)盡的變種”。而且目前對勒索病毒還沒(méi)有一個(gè)特別好的解決的方法，只能提前防御。

阿里云吳翰清曾表示，其實(shí)阿里云在去年下半年，通過(guò)云上數據監控，就已經(jīng)預測勒索軟件會(huì )在今年大規模爆發(fā)。如今，勒索軟件盛行碰上高危漏洞，兩個(gè)事件湊在一起，就導致該起事件爆發(fā)。

他預計，未來(lái)出現類(lèi)似大規模事件的概率，會(huì )越來(lái)越高：我可以負責任地說(shuō)，這絕對不是第一次，這只是剛剛開(kāi)始，我預計今年還會(huì )有還會(huì )有三到四次類(lèi)似規模的事件。

根據多家官方權威介紹，WannaCry勒索病毒發(fā)行者是利用了去年被盜的NSA自主設計的Windows系統黑客工具永恒之藍（Eternal Blue），將今年2月的一款病毒升級所致。

而且這也并非勒索病毒首次爆發(fā)，2013年勒索病毒就出現了，只不過(guò)當時(shí)是通過(guò)郵件、掛馬傳播，2015年開(kāi)始進(jìn)入爆發(fā)期，目前已經(jīng)有超過(guò)100種勒索病毒家族存在。

WannaCry、Petya兩大勒索病毒已經(jīng)敲響安全警鐘，各大企業(yè)和機構以及個(gè)人需要盡快“亡羊補牢”了。

原創(chuàng )文章，作者：高小倩，如若轉載，請注明出處：http://36kr.com/p/5081393.html