又來，Petya勒索病毒襲擊烏克蘭，中國幸免於難

北京時間6月27日晚間，一輪新的勒索病毒襲擊了歐洲多個國家，與5月爆發的「永恆之藍」勒索蠕蟲病毒（WannaCry）類似，被襲擊的設備被鎖定，並索要300美元比特幣贖金。

安在（AnZer_SH）了解到，烏克蘭、俄羅斯、西班牙、法國、英國等多國均遭遇到襲擊，包括政府、銀行、電力系統、通訊系統、能源企業、機場等重要基礎設施都被波及，律師事務所DLA Piper的多個美國辦事處也受到影響。

此次勒索最早出現在烏克蘭，也以烏克蘭損失最為嚴重，該國政府大樓里的電腦也都離線了。該國的副首相Pavel Rozenko在 facebook 上發布了一張電腦圖片，顯然電腦啟動出現問題了。

烏克蘭國家銀行表示， 銀行和其他金融機構已經對此次襲擊事件發出警告。TV and radio的首席執行官萊克絲說，24 頻道已經受到攻擊， 其部分計算機設備受到影響。

在烏克蘭首都基輔，烏克蘭國家儲蓄銀行的自動付賬機中毒

WannaCry續集，網路勒索將成常態？

Wannacry，這已經是個安全小白都知道的名字了。從5月12日至今，一個多月過去了，就在這場勒索病毒事件漸漸淡出大眾視野時，又一輪的勒索來了。

此次黑客使用的是Petya勒索病毒變種，該變種攻擊方式與WannaCry相同，都是利用MS17-010（永恆之藍）漏洞傳播，不同於傳統勒索軟體加密文件的行為，Petya勒索病毒採用磁碟加密方式，通過加密硬碟驅動器主文件表（MFT），使主引導記錄（MBR）不可操作，限制對系統的訪問，此次黑客勒索金額為價值300美元的比特幣。

提示支付贖金界面如下：

具體感染流程如下圖所示：

Petya勒索病毒由來以久，但本次爆發使用了已知OFFICE漏洞、永恆之藍SMB漏洞、區域網感染等網路自我複製技術，使得病毒可以在短時間內呈爆發態勢。同時，該病毒與普通勒索病毒不同，其不會對電腦中的每個文件都進行加密，而是通過加密硬碟驅動器主文件表（MFT），使主引導記錄（MBR）不可操作，通過佔用物理磁碟上的文件名，大小和位置的信息來限制對完整系統的訪問，從而讓電腦無法啟動，相較普通勒索病毒對系統更具破壞性。

從2016年開始，勒索軟體達到了爆髮式增長，由於raas模式（勒索即服務模式，病毒編寫者開發出惡意代碼，提供給其他犯罪分子）以及比特幣的掩護，勒索時間愈演愈烈，有安全專業預測，勒索病毒可能走向常態化發展。

而「防護」也將成為企業的一大重點——企業不僅要重視事後數據恢復，更要在事前方面，注意員工安全意識培訓，針對差異化數據，採取不同治理及備份策略。

黑客為何偏愛烏克蘭？

這已經不是烏克蘭第一次遭遇網路攻擊，長久以來，烏克蘭都是網路攻擊的重災區。

• 2016年12月發生過一起針對烏克蘭電網的黑客襲擊事件，造成其首都基輔斷電超一小時，數百萬戶家庭被迫供電中斷。最近安全專家經調查發現，侵入烏克蘭工控系統的罪魁禍首可能是——Win32 / Industroyer。

• 2015年中期開始，在烏克蘭就開始存在通過Excel宏病毒進行BlackEnergy攻擊，如果用戶打開此類文檔腳本就會釋放木馬至本地硬碟。

• 2015年12月23日發生的由木馬攻擊引起的烏克蘭電網電力中斷，這是首次由惡意軟體攻擊導致國家基礎設施癱瘓的事件，致使烏克蘭城市伊萬諾弗蘭科夫斯克將近一半的家庭（約140萬人）在2015年聖誕節前夕經歷了數小時的電力癱瘓。

• 2016年1月，烏克蘭最大機場網路遭到攻擊通訊專家認為機場裡面一個工作站是被Black Energy 病毒感染，而之後連接機場的計算機網路被斷開。

作為曾經的蘇聯的一份子，烏克蘭近年來局勢動蕩，人民生活水平也一直在東歐各國中落後，而東歐的黑客，與其實力相比，曝光相對較少，技術上更講究學以致用，不求名、唯求利。而像西歐、北歐那些高福利國家的黑客，很多則是因為興趣，就是為了好玩，而非獲利。

另一方面，烏克蘭政府機構糟糕的安全應對也為世界各地的不法黑客帶來了創富良機，烏克蘭政府、電力系統及銀行成為近些年來被黑客攻擊最多的機構。

準備充足，國內機構大都倖免

據安在（AnZer_SH）了解，相比於Wannacry爆發時國內大批機構中招，此次事件，除了極少數跨境企業的歐洲分部中招，境內並沒有接到中招的報告。

經過一個多月前Wannacry的洗禮，網路安全開始在全社會深入人心，而國內的大部分企業、機構和高校也開始在安全建設、病毒防護等方面重視起來，未雨綢繆下，此次的勒索事件並沒有波及。

而就在昨天，中央網信辦剛剛發布了《國家網路安全事件應急預案》。根據預案規定，網路安全事件發生后，事發單位應立即啟動應急預案，實施處置並及時報送信息。各有關地區、部門立即組織先期處置，控制事態，消除隱患，同時組織研判，注意保存證據，做好信息通報工作。

事件發生后，安在（AnZer_SH）第一時間聯繫到了騰訊、阿里巴巴、360公司的安全部門，各大廠商也在第一時間密切關注事件進展，並在第一時間向用戶提供了解決方案。

• 27號18點左右，騰訊雲聯合騰訊電腦管家發現相關樣本在國內出現，騰訊雲實時啟動用戶防護引導，騰訊雲主機防護產品雲鏡已實時檢測該蠕蟲，並將持續關注該事件和病毒動態。

• 360企業安全集團於6月28日凌晨發布預警通告，並開通了24小時求助熱線，以確保第一時間處理用戶求救。

• 阿里雲安全團隊第一時間拿到病毒樣本，並進行了分析，6月28日凌晨，阿里雲對外發布了公告預警並提供了防護及解決方案。

360安全監測與響應中心負責人趙晉龍建議，用戶一定要及時更新windows系統補丁；務必不要輕易打開doc、rtf等後綴的附件；內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

在國內廠家慶幸自己躲過一劫的同事，我們可以預知，Petya並不是終點。企業後續在面對類似的安全問題時如何應急響應，就是我們將要面臨的不容逃避的問題。

而要解決這些問題，就應該要放對著力點。網路安全的未來應該實現普遍化，實時化，人工智慧化。在移動互聯網、物聯網及大數據時代下，則要求企業要充分利用大數據實時評估和提高企業安全成熟度，同時注重業務安全。

推薦人物閱讀

人物

白帽

新銳

安在

新銳丨大咖丨視頻丨白帽丨深度

長按識別二維碼 關注更多精彩