WannaCry鬼影再現，新勒索軟體Petya從烏克蘭蔓延

從本周二開始，研究人員發現一種新的勒索軟體Petya（也稱為Petrwrap）在全球範圍內開始傳播。迄今為止主要受害方是烏克蘭的基礎運營設施，如電力公司，機場，公共交通，中央銀行等。同樣受害的還有丹麥運輸公司 Maersk；俄羅斯石油巨頭 Rosnoft；印度，西班牙，法國，英國以及其他許多國家的運營機構。

Petya的傳播之所以如此迅猛，主要在於它與最近大熱的 WannaCry 勒索軟體事件相似，都利用了美國國家安全局（NSA）的 EternalBlue 漏洞進行傳播。

信息安全公司 Emsisoft 的研究員Fabian Wosar說：「它絕對是利用 EternalBlue來傳播的。」 同時安全公司 Comae Technologies 的創始人 Matthieu Suiche 也在Twitter上寫道：「我可以確認這就是翻版的 WannaCry。」

而據了解，從2016年起Petya勒索軟體就開始了發散，並在 EternalBlue 漏洞的「助力」下加速傳播。計算機一旦被該病毒感染，屏幕上就會顯示出一段紅色文字：

「如果你正在讀這段話，你將無法讀取你的任何文件，因為它們已經全部被加密。如果你正在忙於尋找如何恢復這些文件，我們忠告你最好不要浪費時間，因為沒有人可以在沒有我們的解密服務的情況下恢復任何文件。」

最後，Petya會採取和 WannaCry 一樣的做法——勒索300美元的比特幣 。

圖丨受病毒影響的烏克蘭超市

雖然，早在 5月份 WannaCry 傳播之前的兩個月，微軟就已經修復了 EternalBlue 漏洞。但根據 Petya 迄今造成的破壞程度看來，許多公司似乎不顧勒索軟體的潛在破壞威脅，推遲了對漏洞的修補。而也恰恰是吸取了兩次病毒攻擊的教訓，許多系統管理員終於決定將其系統升級為防禦優先順序。

不過，這一切似乎都顯得無濟於事，事實表明，依靠 EternalBlue 傳播的 Petya 即便是官方補丁也難以修復。McAfee 的研究員兼首席科學家 Raj Samani 指出，Petya 為了取得最大的影響很有可能使用了其他的傳播方法。

更令人不安的是， WannaCry 至少還有一個「開關」，安全研究人員只要完全關閉它就能控制病毒的傳播。 然而 Petya 貌似並沒有這種開關，這就意味著人們對於 Petya 的肆意傳播暫時還無能為力。

至於此輪攻擊到底源自於哪裡目前尚不明了。 Malware Hunter Team 分析小組的研究員說：「不知道為什麼所有人首先會提到烏克蘭，它明明在全球範圍內都有出現。」

「我認為這次爆發的規模比起 WannaCry 要小得多，但感染的數量還是相當可觀的，」Samani 說道。 「這就非常麻煩了，即便傳播的沒有那麼廣泛，但也相當值得關注。」

到目前為止，這輪襲擊至今只造成了約3500美元的損失。 可能看上去沒有多少。但這個數字一直在逐步上升，最終的結果還需要持續的跟蹤觀察。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！