您当前的位置: 首页 > 旅游

从诞生到变种勒索病毒Petya是如何利用

2019-03-07 20:55:58

2017年6月27日,美国、欧洲及俄罗斯等国家再度遭受了大规模的勒索病毒攻击,甚至连乌克兰政府机关都遭到了严重入侵,

从诞生到变种勒索病毒Petya是如何利用

威胁还可能覆盖了核子设施(如核弹发射井)。

电脑专家表示,此次病毒是Petya的变种,目前由资安公司(资讯安全,information security,以下简称资安)Bitdefender识别为GoldenEye,其运作方式就如同上次的WannaCry攻击一样,要求所有人支付300美元的比特币以重新获得存取权,且很难被追踪。

2017年6月29日,因为新勒索病毒的散发者考虑不周,他在所有的勒索中都使用同一个汇款账户,导致该账户遭到有关部门追查,勒索也就此告一段落。

Petya从诞生到变种

2016年上半年,一种修改MBR并加密MFT (Master File Table)的程序,破坏力极强的勒索病毒诞生,正是Petya。

2016年下半年,其始作俑者在2016年下半年作品名为GoldenEye,是Petya的变种。于2017年6月开始流行的勒索程序类似于GoldenEye,因此也被识别为GoldenEye。不过卡巴斯基实验室研究人员对此表示质疑,这次攻击与Petya的特征并不完全相同。目前业界测试 61个防毒解决方案,只有4个成功辨识了此病毒。

该病毒采用CVE-漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS漏洞和系统弱口令进行传播。

初步分析,其可能具有感染域控制器后提取域内机器口令的能力,因此其对内具有一定的穿透能力,对内安全总体上比此前受到广泛关注的WannaCry有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。

虽未到上次WannaCry的强度,但是英、美、法、德都有超过2000台电脑遭到感染,乌克兰国家银行及电力公司都中招。受害人想解锁硬碟需支付价值300美元的比特币,已有32名受害者付费,总值大约6775美元。

MS?或许永恒之蓝这个名字你更熟悉

和WannaCry一样,变种Petya也是使用了NSA根据WindowsSMBv1协议漏洞(MS)制造出的“永恒之蓝”。

赛门铁克(Symantec)资安公司的研究人员表示,此次攻击虽然仍使用了与WannaCry的永恒之蓝漏洞,然而这样的骇客工具在去年4月已经被洩漏出数十种,并散播在路上。

原始的SMBv1协议已存在了近30年,和许多80年代的软件一样,其是在没有恶意攻击者、没有太多重要数据,电脑使用量也不高的背景下开发出来的,因而早已无法胜任当今络环境下的应用部署。而且近几代的Windows都已经不再使用SMBv1协议了,如Vista已升级到SMBv2,之后版本则升级为SMBv3。

不过迄今为止,大量的电脑,尤其是企业办公用电脑没有升级,也就意味着这些机器依然再使用SMBv1。Radware安全副总裁Carl Herberger则指出,一个组织的官僚程度越高,它越不会更新其软件。

资安公司Armor研究员Chris Hinkley则表示,Petya的攻击可会加密和锁定整个硬盘,而不是像之前锁定个别文件,会更加麻烦。

勒索结束了,病毒却没有

这款变种Petya远不如WannaCry疯狂,上文已经提到了,勒索账户已经被相关部门封锁,以至于攻击者的勒索失去了意义。随后,确实也没有在发生变种Petya勒索事件。

攻击者是结束了,但是这并不意味着攻击手段结束。

芬兰资安公司F-Secure研究人员指出,此次病毒可能还有其他通道可以传播,对于某些通道来说,就算已经更新电脑恐怕还是会有危险。

从数据来看,中国即使拥有7亿的联用户,但是WannaCry仅仅造成了小规模的攻击,Petya则更少,近乎为0。

不过仍需要保持Windows更新,防患于未然才是的解决办法。

推荐阅读
图文聚焦