Petya勒索病毒爆發 仍通過「永恆之藍」漏洞傳播

鳳凰科技訊 6月28日消息，據twitter爆料，烏克蘭政府機構遭大規模攻擊，其中烏克蘭副總理的電腦均遭受攻擊，目前騰訊電腦管家已經確認該病毒為Petya勒索病毒。騰訊安全反病毒實驗室旗下的哈勃分析系統對收集到的病毒樣本進行了分析，並已確認病毒樣本通過永恆之藍傳播。根據病毒的惡意行為，哈勃已經能夠識別此病毒並判定為高度風險。騰訊方面表示開啟騰訊電腦管家可查殺該病毒。

根據分析結果，病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在445等埠使用SMB協議進行連接。

深入分析發現，病毒連接時使用的是「永恆之藍」（EternalBlue）漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用，是造成WannaCry全球快速爆發的重要原因之一，此次Petya勒索病毒也藉助此漏洞達到了快速傳播的目的。

同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

電腦重啟后，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。

當加密完成後，病毒才露出真正的嘴臉，要求受害者支付價值300美元的比特幣之後，才會回復解密密鑰。

這個加密流程與2016年起出現的Petya勒索病毒的流程相似，twitter上也有安全人員確認了二者的相似關係。但是不同的是，之前的Petya病毒要求訪問暗網地址獲取解密密鑰，而此次爆發的病毒直接留下了一個Email郵箱作為聯繫方式。