永恆之藍再次肆虐 勒索病毒變種在多國大規模爆發

昨日，烏克蘭等地遭受大規模勒索攻擊，多國政府機構、銀行、運營商、機場和企業都受到了不同程度的影響。

不同於傳統勒索軟體針對文件進行加密的行為，此次勒索攻擊採用磁碟加密（早期版本只對MBR和磁碟分配表進行加密）的方式進行敲詐。

某安全廠商數據顯示，全球目前有約2,000名用戶遭到這種勒索軟體的攻擊。其中，俄羅斯和烏克蘭的企業和組織遭受影響最為嚴重。此外還在波蘭、義大利、英國、德國、法國、美國等國記錄到相關攻擊。根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款。

目前得到國內外多家安全廠商交叉確認的是，此次勒索軟體的傳播採用了郵件、下載器和蠕蟲的組合方式，並利用了此前5月份爆發的WannaCry所使用的「永恆之藍」漏洞。電腦在感染勒索病毒Petya的變種后，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

電腦重啟后，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。當加密完成後，受害者需支付價值300美元的比特幣贖金才可獲得解密密鑰。

攻擊者謊稱進行磁碟掃描而實則進行加密操作

要求支付贖金通告

需要特別注意的是，此次Petya的變種可以通過Windows的管理體系結構和SMB協議在企業內網進行橫向移動，對內網安全具有比WannaCry更大的威脅。

該病毒採用CVE-2017-0199漏洞的RTF格式附件進行郵件投放，之後釋放Downloader來獲取病毒母體，形成初始擴散節點，之後通過MS17-010（永恆之藍）漏洞和系統弱口令進行傳播。同時初步分析其可能具有感染域控制器后提取域內機器口令的能力。因此其對內網具有一定的穿透能力。

但鑒於初始爆發地區的地緣敏感性、具備一定強度的擴散能力和所處的特殊攻擊時點，安天目前認為這次事件不能完全排除是單純經濟目的的惡意代碼攻擊事件，亦不能直接判斷是針對特定地區的定向攻擊。

此前，在WannaCry安全事件的應急工作中已經打下了良好基礎，現階段該病毒尚未在大面積傳播，但其複合的傳播手段仍具有較大安全風險。

在安全建議方面，首先此次爆發病毒直接留下了一個Email郵箱作為聯繫方式而不是訪問某暗網地址，而攻擊者郵箱已被關停，所以不建議支付贖金。

其次，除了及時做好數據備份和微軟Windows操作系統的安全補丁更新，以及對攜帶可疑附件和鏈接的郵件謹慎處置外，對未被感染的PC，還特別建議：

• 更新操作系統補丁（MS17-010）

• 更新Microsoft Office/WordPad遠程執行代碼漏洞（CVE-2017-0199）補丁

• 禁用WMI服務

禁用操作方法：https://zhidao.baidu.com/question/91063891.html

• 更改空口令和弱口令

如操作系統存在空口令或弱口令的情況，請及時將口令更改為高強度的口令。