乌克兰多家银行被迫提前关门,覆盖英国、法国、丹麦、西班牙、挪威以及俄罗斯等多个欧洲国家。
微博全文传送门【petya勒索病毒来袭 每十分钟感染5000余台电脑】27日,新型勒索病毒“petya”来袭。包括俄罗斯、英国、乌克兰等在内的多个国家蔓延,机场、银行ATM机及大型企业和公共设施已大量沦陷。新病毒变种比之前的勒索病毒更专业、更难对付,传播速度达到5000余台电脑/10分钟,甚至乌克兰副总理的电脑也遭到感染。目前国内也出现了病毒传播迹象。
昨晚21时左右,乌克兰遭受Petya勒索程序大规模攻击。包括首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。实际上Petya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。
Petya看来大有与前不久WannaCry争辉的意思。这款病毒到底有什么特性能够让乌克兰乃至全球的众多商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击呢?
传播方式
国外媒体报道称,受到Petya影响最大的地区是乌克兰。而来自思科Talos、ESET、卡巴斯基实验室等来源的分析,黑客首先攻击了M.E.Doc,这是一家乌克兰的会计软件厂商。随后黑客通过M.E.Doc的更新服务器将一个恶意推送推给用户。用户更新软件时,便感染了病毒——这可能是Petya传播较为广泛的一种途径,但最初的传播方式可能仍然不确定。
病毒概况
部分安全公司包括赛门铁克都认为,这次的勒索程序就是Petya的一个变种。不过卡巴斯基实验室的研究指出,该勒索程序不能认为是Petya的变种,它只是与Petya在字符串上有所相似,所以卡巴斯基为其取名为“ExPetr”(还有研究人员将其称为NotPetya、Petna或者SortaPetya)。卡巴斯基在其报告中表示未来还会对ExPetr进行更为深入的分析。鉴于绝大部分媒体和许多安全公司仍然将其称作Petya,本文也不对二者进行区分。
去年Petya出现时,我们就曾报道过这款勒索软件,至少从其行为模式来看与本次爆发的勒索程序还是存在很多相似之处的:
Petya释放的文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。
与传统的勒索软件不同的是,Petya并非逐个加密单个文件,而是加密磁盘的MFT,并且破坏MBR,使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。
重启电脑后,病毒会显示一个磁盘扫描界面,但实际上,这个界面是用来伪装Petya会正在进行的磁盘加密操作。
移除病毒要求感染者支付300美元的赎金解密文件。
“当您看到这段文字的时候,你的文件已经被加密无法读取了。你可能在寻找恢复文件的方法,但是不要浪费时间了,除了我们没人能恢复。”
病毒要求感染者支付300美元的赎金解密文件。
“请按以下要求操作:
1. 发送价值300美元的比特币到以下地址:1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
2. 发送你的比特币钱包ID和个人安装密钥到wowsmith123456@posteo.net。你的个人安装密钥如下:XXXXX。”
但病毒的可怕之处不仅如此,还在于在感染电脑之后的进一步传播。
Petya利用了“永恒之蓝”漏洞,这个存在于Windows SMBv1协议中的漏洞帮助WannaCry病毒在72小时内感染了全球30万台电脑。同样地,微软也发布了对应补丁。
Petya的传播特性相比WannaCry有过之而无不及。除了上述的传播方式,Petya还想了一些其他的办法进行传播。
首先Petya会在已经感染的系统中寻找密码,再想办法入侵其他系统。前NSA分析员David Kennedy称,Petya会尝试在内存或者本地文件系统中提取密码。
然后,Petya会利用PsExec和WMI。PsExec原本是用来在其他系统上执行某些操作的工具,而Petya把它用来在其他电脑执行恶意代码。如果受感染的电脑拥有整个网络的管理权限,整个网络中的电脑都可能被感染。WMI也是如此。
不幸的是,上述的这两种方法并没有相应的补丁,所以理论上即便是完整补丁的Windows电脑还是可能被感染。