Zi 字媒體

勒索病毒捲土重來！最新出現的病毒被稱為Petya變種，它勒索的贖金是摺合300美元的比特幣。6月27日，據美聯社等外媒報道：新一輪超強電腦病毒正在包括俄羅斯、英國、烏克蘭等在內的歐洲多個國家迅速蔓延。有機場、銀行及大型企業被報告感染病毒。報道稱，這輪病毒足以與五月席捲全球的勒索病毒WannaCry（想哭）的攻擊性相提並論。鑒於本次攻擊是從烏克蘭起步，安天分析小組認為，目前並不能得出本事件是完全以經濟勒索為目的惡意代碼攻擊事件的結論，而還需要更多進一步的分析。360安全中心監測，目前國內也出現了病毒傳播跡象。Petya敲詐者病毒破壞后的開機畫面，索要價值300美元的比特幣360首席安全專家鄭文彬表示，與5月爆發的Wannacry相比，Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞，還會利用「管理員共享」功能在內網自動滲透。在歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。相比之下，經過了上一輪勒索病毒的「洗禮」，這次受到的衝擊可能相對較小。金山毒霸安全實驗室分析后認為，Petya敲詐者病毒和WannaCry勒索病毒類似，都利用Windows SMB高危漏洞傳播。但用戶勿須為此恐慌，病毒傳播利用的漏洞已可修補，相關專業殺毒軟體也能攔截查殺Petya敲詐者病毒。據了解，Petya勒索病毒最早出現在2016年初，以前主要利用電子郵件傳播。最新爆發的類似Petya的病毒變種則具備了全自動化的攻擊能力，即使電腦打齊補丁，也可能被內網其他機器滲透感染，必須開啟專業安全軟體進行攔截，才能確保電腦不會中毒。Petya加密的文件類型一共65種，WannaCry為178種。據介紹，該病毒會加密磁碟主引導記錄（MBR），導致系統被鎖死無法正常啟動，然後在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會進一步加密文檔、視頻等磁碟文件。Petya加密的文件類型相比WannaCry少。阿里雲方面提供的數據稱，Petya加密的文件類型一共65種，WannaCry為178種，不過已經包括了常見文件類型。Petya的勒索金額與此前Wannacry病毒完全一致，均為摺合300美元的比特幣。根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款，其「吸金」速度完全超越了Wannacry。不過，最新消息顯示，由於病毒作者的勒索郵箱已經被封，現在交贖金也無法恢復系統。病毒作者的勒索郵箱已經被封。對此，鄭文彬表示，如果電腦裝有專業安全軟體，則可以放心開機聯網，能夠全面防禦勒索病毒變種；如果電腦「裸奔」，建議用戶先斷網再開機，通過U盤使用免疫工具，進行免疫后可以確保不會被病毒感染。金山毒霸安全專家認為，網民無須在Petya敲詐者病毒到來時恐慌，原因在於：1.永恆之藍相關漏洞的補丁，用戶在一個月前爆發WannaCry（想哭）勒索蠕蟲病毒時先後進行過修補。打過補丁的系統不會再次被入侵。2.國內安全軟體，早已內置MBR改防寫功能，任何可疑程序試圖篡改硬碟主引導記錄的行為均會被攔截。3.Petya敲詐者病毒樣本已被截獲，專業殺毒軟體已可查殺防禦。不過，金山毒霸也提醒，企業內網仍可能出現受害者。原因是，企業內網修補漏洞會比普通用戶慢，系統複雜，系統管理員能力參差不齊，可能仍然存在未修補漏洞的系統。從而，內網用戶仍可能遭遇Petya敲詐者病毒攻擊。