新一輪全球勒索病毒攻擊來襲！已有中國企業中招

金羊網記者 馬化展 實習生 雷雅媛

過去兩日，據《每日郵報》等外媒報道，新一輪勒索病毒Petya，已席捲歐美多個國家，甚至連烏克蘭副總理的電腦也中招。28日，記者通過多個安全軟體殺毒平台獲悉，中國已有多家企業被攻擊，並出現病毒傳播跡象，急需防禦。

傳播速度更快！中國也受攻擊

感染全球150多個國家和地區，超過10萬台電腦的Wannacry勒索病毒事件才剛平息不久，新的勒索病毒——Petya變種又開始肆虐。根據美聯社等外媒報道，Petya已在俄羅斯、英國、烏克蘭、美國等歐美國家迅速蔓延。它通過鎖住大量的電腦，要求用戶支付 300 美元的加密數字貨幣才能解鎖。

據《紐約時報》報道，這次病毒襲擊可能始於對烏克蘭政府和企業的攻擊。此次，烏克蘭多個政府部門、當地銀行和地鐵系統都遭受感染。27日，烏克蘭副總理羅申科，在社交網站「臉書」上寫道，烏克蘭內閣辦公室的電腦無法使用。

與5月爆發的Wannacry相比，Petya勒索病毒變種的傳播速度更快。它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞，還會利用「管理員共享」功能在內網自動滲透。在歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷。

28日，記者從360安全衛士及騰訊電腦管家獲悉，根據檢測，中國也已有多家企業被攻擊，並出現病毒傳播跡象。騰訊電腦管家追蹤到，中國區最早攻擊發生在6月27號早上，通過郵箱附件傳播。另據烏克蘭CERT官方消息稱，郵箱附件被確認是該次病毒攻擊的傳播源頭。

全程偽裝 最後露出險惡面目

此輪勒索病毒威力為何如此強勁？360首席安全工程師鄭文彬介紹說，Petya勒索病毒最早出現在2016年初，以前主要利用電子郵件傳播。最新爆發的類似Petya的病毒變種則具備了全自動化的攻擊能力，即使電腦打齊補丁，也可能被內網其他機器滲透感染。

另據騰訊安全反病毒實驗室研究發現，該病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在445等埠使用SMB協議進行連接。同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟後，會顯示一個偽裝的界面，假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。加密完成後，病毒才露出真正的嘴臉，要求受害者支付贖金。

騰訊方面進一步分析發現，病毒連接時使用的是「永恆之藍」漏洞，此漏洞在之前的WannaCry勒索病毒中也被使用。此次Petya勒索病毒也藉助此漏洞，達到快速傳播的目的。

根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款。不過截至北京時間28日中午左右，黑客卻只收到30筆左右的贖金。

用戶需警惕附件及更新補丁

此前，上一輪勒索病毒風波之後，其背後的黑客組織「影子經紀人」就已放話，他們將在今年7月份出售更多從美國國家安全局盜取的數據。目前尚不知此次事件是否與該組織有關，但是Petya勒索病毒來勢洶洶，自然需嚴陣以待。

對此，28日，國家互聯網應急中心發布預警通報，建議用戶不要輕易點擊不明附件，尤其是rtf、doc等格式文件；內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行開機操作；更新操作系統補丁（https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ），更新 Microsoft Office/WordPad 遠程執行代碼漏洞補丁（https://technet.microsoft.com/zh-cn/office/mt465751.aspx ）， 禁用 WMI服務（https://zhidao.baidu.com/question/91063891.html）。國家互聯網應急中心表示，後續還將密切監測和關注該勒索軟體的攻擊情況，同時聯合安全業界對有可能出現的新的攻擊傳播手段、惡意樣本變種進行跟蹤防範。

安全軟體殺毒平台方面，騰訊電腦管家已緊急響應，可防禦該病毒及所有已知的變種和其他勒索病毒，另外還可以抵禦絕大部分NSA武器庫泄漏的漏洞的攻擊；360安全衛士也緊急發布升級版的NSA武器庫免疫工具，在免疫「永恆之藍」等黑客武器的基礎上，幫助用戶一鍵關閉Petya病毒變種使用的內網共享攻擊通道，全方位封堵病毒攻擊途徑。

編輯：鄔嘉宏

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！