新勒索病毒！新一波Petya勒索軟體來襲！

烏克蘭多家銀行被迫提前關門，覆蓋英國、法國、丹麥、西班牙、挪威以及俄羅斯等多個歐洲國家。

【petya勒索病毒來襲 每十分鐘感染5000餘台電腦】27日，新型勒索病毒「petya」來襲。包括俄羅斯、英國、烏克蘭等在內的多個國家蔓延，機場、銀行ATM機及大型企業和公共設施已大量淪陷。新病毒變種比之前的勒索病毒更專業、更難對付，傳播速度達到5000餘台電腦/10分鐘，甚至烏克蘭副總理的電腦也遭到感染。目前國內也出現了病毒傳播跡象。

昨晚21時左右，烏克蘭遭受Petya勒索程序大規模攻擊。包括首都基輔的鮑里斯波爾國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。實際上Petya波及的國家還包括英國、印度、荷蘭、西班牙、丹麥等。

Petya看來大有與前不久WannaCry爭輝的意思。這款病毒到底有什麼特性能夠讓烏克蘭乃至全球的眾多商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊呢？

傳播方式

國外媒體報道稱，受到Petya影響最大的地區是烏克蘭。而來自思科Talos、ESET、卡巴斯基實驗室等來源的分析，黑客首先攻擊了M.E.Doc，這是一家烏克蘭的會計軟體廠商。隨後黑客通過M.E.Doc的更新伺服器將一個惡意推送推給用戶。用戶更新軟體時，便感染了病毒——這可能是Petya傳播較為廣泛的一種途徑，但最初的傳播方式可能仍然不確定。

病毒概況

部分安全公司包括賽門鐵克都認為，這次的勒索程序就是Petya的一個變種。不過卡巴斯基實驗室的研究指出，該勒索程序不能認為是Petya的變種，它只是與Petya在字元串上有所相似，所以卡巴斯基為其取名為「ExPetr」（還有研究人員將其稱為NotPetya、Petna或者SortaPetya）。卡巴斯基在其報告中表示未來還會對ExPetr進行更為深入的分析。鑒於絕大部分媒體和許多安全公司仍然將其稱作Petya，本文也不對二者進行區分。

去年Petya出現時，我們就曾報道過這款勒索軟體，至少從其行為模式來看與本次爆發的勒索程序還是存在很多相似之處的：

Petya釋放的文件向磁碟頭部寫入惡意代碼，被感染系統的主引導記錄被引導載入程序重寫，並且載入一個微型惡意內核。接著，這個內核開始進行加密。

與傳統的勒索軟體不同的是，Petya並非逐個加密單個文件，而是加密磁碟的MFT，並且破壞MBR，使得用戶無法進入系統。當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

重啟電腦後，病毒會顯示一個磁碟掃描界面，但實際上，這個界面是用來偽裝Petya會正在進行的磁碟加密操作。

移除病毒要求感染者支付300美元的贖金解密文件。

「當您看到這段文字的時候，你的文件已經被加密無法讀取了。你可能在尋找恢復文件的方法，但是不要浪費時間了，除了我們沒人能恢復。」

病毒要求感染者支付300美元的贖金解密文件。

「請按以下要求操作：

1. 發送價值300美元的比特幣到以下地址：1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

2. 發送你的比特幣錢包ID和個人安裝密鑰到[email protected]。你的個人安裝密鑰如下：XXXXX。」

但病毒的可怕之處不僅如此，還在於在感染電腦之後的進一步傳播。

Petya利用了「永恆之藍」漏洞，這個存在於Windows SMBv1協議中的漏洞幫助WannaCry病毒在72小時內感染了全球30萬台電腦。同樣地，微軟也發布了對應補丁。

Petya的傳播特性相比WannaCry有過之而無不及。除了上述的傳播方式，Petya還想了一些其他的辦法進行傳播。

首先Petya會在已經感染的系統中尋找密碼，再想辦法入侵其他系統。前NSA分析員David Kennedy稱，Petya會嘗試在內存或者本地文件系統中提取密碼。

然後，Petya會利用PsExec和WMI。PsExec原本是用來在其他系統上執行某些操作的工具，而Petya把它用來在其他電腦執行惡意代碼。如果受感染的電腦擁有整個網路的管理許可權，整個網路中的電腦都可能被感染。WMI也是如此。

不幸的是，上述的這兩種方法並沒有相應的補丁，所以理論上即便是完整補丁的Windows電腦還是可能被感染。