分析Petya勒索病毒：勒索其次破壞更多

TechWeb 7月7日報道 文/卡卡落

今年五月份勒索病毒在全球範圍內肆虐，根據媒體報道，中國也受到很大影響，除教育網、校園網以外，北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇病毒襲擊。這次勒索病毒影響廣泛，造成影響之大引起了全球範圍的關注。原本事件逐漸平息，但6月27日晚些時候，代號為「Petya」的勒索病毒變種之後繼續肆虐。

根據外國媒體報道，俄羅斯石油公司Rosneft、烏克蘭國家儲蓄銀行和政府系統都受到了攻擊，僅俄、烏兩國就有80多家公司被該病毒感染，就連烏克蘭副總理的電腦也不幸中招。全球很多地區和國家都受到了影響。

利用那些漏洞傳播 如何破壞？

Petya雖然並不是一個合格的勒索病毒，但是造成的破壞性就更加可怕，要知道如果真的有重要資料，雖然付給不法分子贖金的做法我們非常不提倡，但對於很多用戶來說似乎是解決的方式之一。當然了我們最終還是要強調支付贖金並不是理性的做法，畢竟能夠做病毒勒索錢財的人也不會是什麼講信譽的人，即便是支付了贖金也未必能夠解鎖，此前蘋果iOS設備被惡意鎖定勒索的事件常有發生，支付錢款得不到解決的案例也非常常見。

正因為 Petya勒索病毒的支付渠道不靠譜，所以導致他的破壞能力更強，除了像其他勒索病毒一樣加密鎖定文件之外，還會修改硬碟主引導記錄（MBR）、加密硬碟文件分配表（MFT），導致電腦不能正常啟動。這樣以來對於普通用戶來說有重要文件就很難恢復了，造成的損失巨大。

病毒首先會遍歷所有磁碟，對每個固定磁碟創建一個線程執行文件遍歷，文遍歷時會判斷文件後綴，針對特殊目錄該病毒硬編碼跳過了"C:windows"目錄，不會對該目錄下的任何文件進行加密。拔掉電源可以挽救加密MFT，但並不能挽回之前在桌面環境下已經被加密的用戶文件。

不僅破壞力驚人，而且Petya傳播方式利用「永恆之藍」和「永恆浪漫」兩個漏洞，這就導致了它可以通過內網滲透使用系統的WMIC和Sysinternals的PsExec傳播，所以即便電腦修復「永恆之藍」漏洞，只要內網有中毒電腦，仍有被感染的危險。

業內人士認為Petya的傳播能力和威脅範圍甚至是超過WannaCry病毒的。

不為錢財只為破壞？

一般來說病毒尤其是勒索病毒的目的是索要贖金，一般主要針對一些商業用戶和要害PC或者設備終端。如此大規模的發作往往偷雞不成還容易讓自己成為眾矢之的，會被更厲害的人物盯上，無論是白帽子還是黑客都會關注到病毒傳播的源頭。

WannaCry勒索病毒本身已經是不太明智的做法了，但安全團隊發現，Petya和以往的勒索病毒有很大不同，甚至和WannaCry勒索病毒也不一樣。病毒作者精心設計製作了傳播、破壞的功能模塊，勒索贖金的模塊卻製作粗糙、漏洞百出，稍有勒索病毒的常識就知道，病毒作者幾乎不太可能拿到贖金。

根據國內火絨安全團隊的說法，病毒作者可能根本沒打算得到贖金。與其說Petya是勒索病毒，不如說它是披著勒索病毒外衣的反社會人格的惡性病毒，就像當然臭名昭著的CIH等惡性病毒一樣，損人不利己，以最大範圍的傳播和攻擊破壞電腦系統為目的。

Petya病毒通常情況下是勒索價值300美金的比特幣贖金，但是卻沒有像常規勒索病毒一樣向受害者提供可靠、便捷的付款鏈接，而是選擇用公開的電子信箱來完成贖金支付，很顯然，這樣做特別粗糙和脆弱。

相比WannaCry病毒Petya利用漏洞使得傳播速度更快，但是對勒索病毒更應該關注的支付贖金流程都是草草處理，這一點很奇怪。尤其是新版本的Petya病毒，在內網傳播功能上花費了心思。因此舊版本Petya的更像是一個真正的勒索病毒，它會為不同用戶生成不同的暗網地址用戶支付贖金。而新版本Petya弱化了支付贖金流程，只是提供了一個簡單的郵箱和黑客聯繫，顯然如果是為了勒索至少不會如此簡化勒索支付的功能。

病毒爆發後，郵件賬戶立刻被供應商Posteo關閉，導致贖金交付的流程中斷。用一種不可靠、簡單的方式敷衍了事，似乎並不關心能否收到贖金。因此目前全球範圍內沒有一例成功支付贖金，進而解鎖了文件和系統的報告。從側面驗證了醉翁之意不在酒的特點。

更猛烈的攻擊還在後面？

安全團隊的人認為，新Petya的作者熟悉內網滲透流程，同WannaCry的傳播相比，即使安裝了Windows的全部補丁也不能阻止新Petya在內網的傳播。這兩次病毒的大面積爆發，更像是黑客攻擊「預演」和「實戰」。因此提醒廣大用戶和企業，要更加重視安全問題，謹防更大更猛烈的病毒攻擊。

截至到目前為止，新Petya之後還沒有發現更多的變種，更多的都是加殼和修改版。病毒作者似乎銷聲匿跡，與WannaCry的發作和最終沉寂方式相似，一樣是瘋狂傳播，一樣是沒有通過贖金真正獲利，但是對全球造成的破壞確是存在的造成破壞似乎還隱藏了更大的陰謀。

網上流言四起，有人認為是勒索病毒帶動的是一大波安全軟體和相關服務從新被重視，獲利者自然是這些安全企業。當然了種種說法甚至不乏一些陰謀論的論調出現。但大家姑且聽之，不足為信。但對於消費者來說，如何保護自己，不受病毒侵害才是最重要的。

微軟將持續更新

微軟表示，Petya勒索病毒是非常複雜的惡意軟體，遙測結果顯示，Petya受害率遠低於預期，受感染的大約只有不到2萬台電腦。且受感染的大多數是Windows 7系統。

在今年早些時候，微軟就已經推出了漏洞補丁，Windows 10系統只要打開自動更新，應該已經彌補了漏洞。所以Windows 10系統幾乎沒有受到影響。當然了，關於微軟的說法，有人認為或許是為了穩定用戶情緒。

另外，在上個月月底發布的Windows 10 Build 16232版本中，微軟引入了可控文件夾訪問（Controlled folder access）功能。目前正邀請Windows Insider項目成員進行測試，當某些應用在未授權的情況下對這些文件夾進行調整的時候，用戶就會收到相關的通知。

全新的Controlled folder access目前已經整合到Windows Defender安全中心中，完整版本有望出現在Windows 10秋季創作者更新中。多個Windows系統文件夾默認處於保護狀態，此外用戶也可以根據需求自行添加其他路徑的文件夾，將圖片、文件、視頻等文件納入保護範圍內。如果你的電腦感染惡意軟體之後，嘗試加密鎖定文件，那麼這項系統能夠阻止惡意軟體的修改。

老系統用戶如何防範？

實際上一些開發人員已經針對今年肆虐的勒索病毒進行了研究，發現了一些阻隔或者解決方法。首先微軟已經發布了系統補丁MS17-010用以修復被攻擊的系統漏洞，Windows 7等更早的系統應該及時安裝。

另外還有一些安全防範有可能起到幫助：

1、使用第三方安全廠商產品的應該即使核實並升級

2、關閉445、135、137、138、139埠，關閉網路文件共享。

3、及時安裝Windows、Office公布的安全漏洞補丁。

4、加強電子郵件安全管理，不要輕易點擊不明附件，尤其是rtf、doc等格式的附件。

5、在自己電腦的C:windows目錄下新建一個名為perfc的只讀文件，就可以有效防止petya的攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！