全新勒索病毒爆發 Petya勒索病毒變種周二全球爆發

浙江在線6月28日訊（浙江在線編輯 金英磊）據外媒報道，與Wannacry勒索病毒技術同源的Petya勒索病毒變種本周二在全球爆發，包括英國、烏克蘭、波蘭、義大利、丹麥、俄羅斯、美國等多家大型企業報告遭受病毒襲擊，其中重災區烏克蘭的政府、國有銀行、交通、能源等關鍵基礎設施和部門遭受襲擊，甚至烏克蘭總理的電腦都遭受攻擊。

有分析認為，目前尚不能得出本事件是完全以經濟勒索為目的惡意代碼攻擊事件的結論，尚且需要更進一步分析。

電腦遭Petya勒索病毒感染

Petya是一種什麼樣的勒索病毒？

今年5月，WannaCry病毒對全球150多個國家和地區的逾30萬部電腦系統發動攻擊，並鎖定了被攻擊電腦中的文件，進而要求受害者支付價值約300美元的比特幣才能解鎖。在距離那次全球爆發的大規模病毒攻擊僅僅6周之後，勒索病毒再度捲土重來。

與5月爆發的Wannacry相比，Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞，還會利用「管理員共享」功能在內網自動滲透。

騰訊電腦管家和360安全中心在第一時間確認目前國內企業也有中招。

360首席安全工程師鄭文彬表示，Petya勒索病毒最早出現在2016年初，以前主要利用電子郵件傳播，最新爆發的類似Petya的病毒變種則具備了全自動化的攻擊能力。

「該病毒會加密磁碟主引導記錄（MBR），導致系統被鎖死無法正常啟動，然後在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會進一步加密文檔、視頻等磁碟文件。」

與WannaCry類似，解鎖Petya病毒也需要支付加密的數字貨幣。據莫斯科網路安全公司Group-IB介紹，這種病毒鎖住電腦後，要求用戶支付300美元的加密數字貨幣才能解鎖。根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款，其「吸金」速度完全超越了Wannacry。

但最新消息顯示，由於病毒作者的勒索郵箱已經被封，現在交贖金也無法恢復系統。

病毒作者的勒索郵箱已經被封

用戶毋須過度恐慌

據騰訊安全反病毒實驗室旗下的哈勃分析系統分析，petya病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在445等埠使用SMB協議進行連接。同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟后，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。當加密完成後，病毒才要求受害者支付價值300美元的比特幣之後，才會回復解密密鑰。

不過，相比之下，經過了上一輪勒索病毒的「洗禮」，這次受到的衝擊可能相對較小。

金山毒霸安全實驗室分析后認為，用戶毋須為此恐慌，病毒傳播利用的漏洞已可修補，相關專業殺毒軟體也能攔截查殺Petya敲詐者病毒。原因在於：1.永恆之藍相關漏洞的補丁，用戶在一個月前爆發WannaCry勒索蠕蟲病毒時先後進行過修補。打過補丁的系統不會再次被入侵。2.國內安全軟體已內置MBR改防寫功能，任何可疑程序試圖篡改硬碟主引導記錄的行為均會被攔截。3.Petya敲詐者病毒樣本已被截獲，專業殺毒軟體已可查殺防禦。