Petya勒索病毒全球爆發，優炫安全研究院發布緊急預警

據美聯社等外媒6月27日訊：新一輪超強電腦勒索病毒正在多個國家迅速蔓延，俄羅斯、英國、烏克蘭等國家都遭受不同程度的攻擊，病毒仍在快速擴散。報道稱，此輪病毒足以與五月席捲全球的勒索病毒的攻擊性相提並論。 （烏克蘭副總理在twitter公布自己電腦中病毒后的屏幕內容）

目前，俄羅斯、烏克蘭、波蘭、法國、義大利、英國及德國均已出現遭受該病毒感染的情況。據國家信息技術安全中心處長肖彪介紹，目前，烏克蘭似乎是遭受勒索病毒感染最嚴重的國家之一。

烏克蘭副總理Pavlo Rozenko、烏克蘭國家儲蓄銀行Oschadbank、Privatbank等銀行、國家郵政UkrPoshta、國家電信、市政捷運、烏克蘭首都基輔的鮑里斯波爾機場、電力公司KyivEnergo等都遭到勒索病毒入侵。該國政府、一些國內銀行和能源公司今天都發出了警報。

多家機構研究人員確認，此次攻擊來自名為「Petya」的勒索病毒。此次黑客使用的是Petya勒索病毒的變種Petwarp，使用的攻擊方式和WannaCry相同，都是遠程鎖定設備，然後索要贖金。據多方機構發布的最新消息顯示，此次攻擊時仍然使用了永恆之藍勒索蠕蟲，還會獲取系統用戶名與密碼進行內網傳播。

Petya是如何傳播的？

根據烏克蘭CERT官方消息，郵件附件被認為該次病毒攻擊的傳播源頭，郵箱附件是一個DOC文檔，文檔通過漏洞CVE-2017-0199來觸發攻擊。CVE-2017-0199的RTF漏洞是位於Office 2003及以上版本及WordPad寫字板中的RTF API安全漏洞。

中毒后病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

電腦重啟后，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。 （Petya攻擊完成後直接重啟電腦的界面）

Petya勒索程序實際上是個變種，從早前的Petya中借用了部分代碼。所以國外的某些研究人員將其稱為NotPetya、Petna或者SortaPetya。

根據優炫安全研究院分析表示，Petya勒索病毒通過officeCVE-2017-0199漏洞讓用戶感染病毒，將原始病毒寫入主機MBR和微內核代碼數據並保存。偽造磁碟檢查的掃描。之後，文件系統徹底破壞，並不可讀。

中毒後會掃描內網的設備，通過MS17-010漏洞傳播到內網的機器，MS-17-010漏洞使用EternalBlue和EternalRomance NSA工具進行內網病毒傳播，病毒通過自我複製，達到快速傳播的目的，破壞力極強。

Petya區別於傳統勒索軟體，它不會對電腦中的每個文件都進行加密，而是直接加密硬碟驅動器，通過佔用物理磁碟上的文件名，大小和位置的信息來限制對完整系統的訪問，從而讓電腦無法啟動。

感染過程如下

1、寫MBR

將原始病毒寫入主機MBR和微內核代碼數據並保存。

2、偽造磁碟檢查的掃描。之後，文件系統徹底破壞，並不可讀

a、遍歷分區

b、要加密的文件類型

c、加密文件

3、傳播方式

a、可能通過管理共享在區域網內傳播，而後通過wmic來實現遠程命令執行。

b、通過EternalBlue和EternalRomance漏洞傳播。

病毒的危害

與5月爆發的Wannacry相比，Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞，還會利用「管理員共享」功能在內網自動滲透。在歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦。

（遭到Petya攻擊的超市）

Petya病毒變種是一種新型勒索蠕蟲病毒。電腦、伺服器感染這種病毒後會被全部加密特定類型文件，導致系統無法正常運行。與傳統勒索軟體加密文件行為不同的是，Petya是採用磁碟加密方式，通過對現有的行為分析發現，其加密的文件文件類型只有65種，包含了常見的文件類型。受害者一旦中招則需要支付價值300美金的比特幣贖金才能獲得解密。

烏克蘭內政部部長顧問安東-格拉斯申科(Anton Gerashchenko)通過Facebook稱，此次病毒入侵堪稱「烏克蘭史上最大規模的病毒攻擊」。他還稱，黑客此次攻擊目的就是「要擾亂烏克蘭的經濟形勢和公民意識，儘管此攻擊偽裝成敲詐陰謀」。

防範措施

優炫安全研究院給出當前應對Petya的具體防範措施，有如下方式：

1、郵件防範

由於此次Petya勒索病毒首次傳播通過郵件傳播，所以應警惕釣魚郵件。建議收到帶不明附件的郵件，尤其是rtf、doc 等格式，請勿輕易打開；收到帶不明鏈接的郵件，請勿點擊鏈接。

2、及時更新 windows 相關補丁

Petya勒索病毒通過漏洞CVE-2017-0199來觸發攻擊，而後通過通過MS17-010漏洞傳播，所以對應的這兩個漏洞補丁需要及時更新。由於每個伺服器的對應版本都不一樣，可在微軟官方網站上找到對應的系統版本下載更新。

CVE-2017-0199 RTF安全漏洞全版本修復補丁下載：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199（系統版本繁多，需找到您伺服器對應版本進行下載）

S17-010（永恆之藍）SMB漏洞補丁地址：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx（系統版本繁多，需找到您伺服器對應版本進行下載）

3、定期備份

如果資料非常重要，建議經常備份，不只是面對勒索軟體如此，各類軟硬體故障也會導致資料消失，定期備份重要數據是非常有效的防禦手段，備份周期視數據的實時性和重要性以及成本來確定。

敬請關注優炫軟體，針對Petya勒索病毒的事件進展，優炫安全研究院將在第一時間進行分析報道。

文章部分內容整理於網路