詳解讓烏克蘭總理都「哭泣」的勒索病毒，你到底要不要怕

北京時間 6 月 27 日晚間，歐洲遭到新一輪的未知病毒的衝擊，該病毒傳播方式與今年 5 月爆發的 WannaCry 病毒非常相似。

據雷鋒網宅客頻道了解，受影響最嚴重的國家是烏克蘭，而且已經有國內企業中招。此外，俄羅斯（俄羅斯石油公司 Rosneft）、西班牙、法國、英國（全球最大廣告公司 WPP ）、丹麥（航運巨頭 AP Moller-Maersk）、印度、美國（律師事務所 DLA Piper）也受到不同程度的影響。

此前，國內的安全公司已確認該勒索病毒為 Petya 的變種，傳播方式與 WannaCry 類似，利用 EternalBlue（永恆之藍）和 OFFICE OLE 機制漏洞（CVE-2017-0199）進行傳播。

不過，卡巴斯基實驗室的分析人員表示，這種最新的威脅並不是之前報道中所稱的是一種 Petya 勒索軟體的變種，而是一種之前從未見過的全新勒索軟體。儘管這種勒索軟體同 Petya 在字元串上有所相似，但功能卻完全不同，並將其命名為 ExPetr 。

360 首席安全工程師鄭文彬稱，此次最新爆發的病毒具備了全自動化的攻擊能力，即使電腦打齊補丁，也可能被內網其他機器滲透感染。

根據 360 的威脅情報，有用戶收到帶有附件名為：「Order-20061017.doc「的郵件，該郵件附件為使用 CVE-2017-0199 漏洞的惡意文件，漏洞觸發後從「http ://french-cooking.com/myguy.exe」下載惡意程序執行。外部威脅情報顯示，該勒索軟體就是由此惡意程序最早傳播。

據分析，病毒作者很可能入侵了烏克蘭的專用會計軟體 me-doc，來進行最開始的傳播。他們將病毒程序偽裝成 me-doc 的升級程序給其用戶下發。

由於這是烏克蘭官方要求的報稅軟體，因此烏克蘭的大量基礎設施、政府、銀行、大型企業都受到攻擊，其他國家同烏克蘭有關聯的投資者和企業也收到攻擊，這展示了此次勒索病毒變種的一個針對性特徵，針對有報稅需求的企業單位進行攻擊也符合勒索病毒的牟利特點。

根據 360 安全中心監測，此次國內出現的勒索病毒新變種主要攻擊途徑是內網滲透，也就是利用「管理員共享」功能攻擊內網其他機器，相比已經被廣泛重視的「永恆之藍」漏洞更具殺傷力。

據阿里雲安全專家介紹，勒索病毒通過 Windows 漏洞進行傳播，同時會感染區域網中的其它電腦。電腦感染勒索病毒後，會被加密特定類型文件，導致電腦無法正常運行。而這種勒索病毒在內網系統中，主要通過主要通過 Windows 管理體系結構（Microsoft Windows Management Instrumentation），和 PSEXEC（SMB 協議）進行擴散。

該病毒會加密磁碟主引導記錄（MBR），導致系統被鎖死無法正常啟動，然後在電腦屏幕上顯示勒索提示。如果未能成功破壞 MBR，病毒會進一步加密文檔、視頻等磁碟文件。

阿里雲在對病毒樣本進行研究後發現，操作系統被感染後，重新啟動時會造成無法進入系統。下圖顯示的就是病毒偽裝的磁碟掃描程序。

而該病毒對勒索對象的加密，可以分為以下 7 個步驟：

根據安天方面的消息，該病毒的勒索模塊實際上是一個 DLL 文件，該文件被載入後遍歷用戶磁碟文件（除 C:Windows 目錄下），並對指定後綴名的文件進行加密，加密後不修改原文件名和擴展名。該文件修改 MBR，同時，添加計劃任務，在等待一段時間後，關閉計算機。當用戶開啟計算機時，會顯示勒索界面和信息並無法進入系統。

據雷鋒網宅客頻道了解，這次的新型勒索病毒變種，是利用系列漏洞進行傳播的新勒索病毒家族。與 5 月爆發的 WannaCry 相比，新型勒索病毒變種的傳播速度更快。此次勒索病毒的主要特點有：

• 該勒索病毒使用了多種方式在內網進行攻擊傳播，包括使用了 NSA 的武器庫中的永恆之藍、永恆浪漫系列遠程攻擊武器，以及利用內網共享的方式傳播。因此不僅沒有及時修復 NSA 武器庫漏洞的用戶會受影響，只要內網中有其他用戶受到攻擊，已經打了補丁的電腦也可能會受到攻擊。

• 此次的勒索病毒會導致電腦不可用。此前的 WannaCry 病毒僅會加密用戶文件，但是用戶的電腦仍暫時可用。此次的勒索病毒會感染用戶電腦的引導區，導致用戶電腦無法正常開機（強制顯示勒索信息）。

• 此外，該勒索病毒加密的文件類型相比 WannaCry 少，一共有65種，而 WannaCry 為 178 種（包括常見文件類型）。

解決方案

目前，網路管理員可通過，監測相關域名/IP，攔截病毒下載，統計內網感染分布：

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

french-cooking.com

此外，還可以通過如下關鍵 HASH 排查內網感染情況：

415fe69bf32634ca98fa07633f4118e1

0487382a4daf8eb9660f1c67e30f8b25

a1d5895f85751dfe67d19cccb51b051a

71b6a493388e7d0b40c83ce903bc6b04

目前，包括 360、騰訊、阿里雲、安天在內的各大安全廠商已經推出了初步的解決方案，詳見雷鋒網文章《應急指南｜新一輪勒索病毒來襲，小白用戶看這裡》。

以下是針對受害者的初步建議：

• 目前勒索者使用的郵箱已經停止訪問，不建議支付贖金。

• 所有在 IDC 託管或自建機房有伺服器的企業，如果採用了 Windows 操作系統，立即安裝微軟補丁。

• 安全補丁對個人用戶來說相對簡單。只需自學裝載，就能完成。

• 對大型企業或組織機構，面對成百上千台機器，最好還是能使用客戶端進行集中管理。

• 可靠的數據備份可以將勒索軟體帶來的損失最小化。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！