2017年6月27日,美国、欧洲及俄罗斯等国家再度遭受了大规模的勒索病毒攻击,甚至连乌克兰政府机关都遭到了严重入侵,威胁还可能覆盖了核子设施(如核弹发射井)。
电脑专家表示,此次病毒是Petya的变种,目前由资安公司(资讯安全,information security,以下简称资安)Bitdefender识别为GoldenEye,其运作方式就如同上次的WannaCry攻击一样,要求所有人支付300美元的比特币以重新获得存取权,且很难被追踪。
2017年6月29日,因为新勒索病毒的散发者考虑不周,他在所有的勒索中都使用同一个汇款账户,导致该账户遭到有关部门追查,勒索也就此告一段落。
Petya从诞生到变种
2016年上半年,一种修改MBR并加密MFT (Master File Table)的程序,破坏力极强的勒索病毒诞生,正是Petya。
2016年下半年,其始作俑者在2016年下半年作品名为GoldenEye,是Petya的变种。于2017年6月开始流行的勒索程序类似于GoldenEye,因此也被识别为GoldenEye。不过卡巴斯基实验室研究人员对此表示质疑,这次攻击与Petya的特征并不完全相同。目前业界测试 61个防毒解决方案,只有4个成功辨识了此病毒。
该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010漏洞和系统弱口令进行传播。
初步分析,其可能具有感染域控制器后提取域内机器口令的能力,因此其对内网具有一定的穿透能力,对内网安全总体上比此前受到广泛关注的WannaCry有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。
虽未到上次WannaCry的强度,但是英、美、法、德都有超过2000台电脑遭到感染,乌克兰国家银行及电力公司都中招。受害人想解锁硬碟需支付价值300美元的比特币,已有32名受害者付费,总值大约6775美元。
MS17-010?或许永恒之蓝这个名字你更熟悉
和WannaCry一样,变种Petya也是使用了NSA根据Windows SMBv1协议漏洞(MS17-010)制造出的“永恒之蓝”。
赛门铁克(Symantec)资安公司的研究人员表示,此次攻击虽然仍使用了与WannaCry的永恒之蓝漏洞,然而这样的骇客工具在去年4月已经被洩漏出数十种,并散播在网路上。
原始的SMBv1协议已存在了近30年,和许多80年代的软件一样,其是在没有恶意攻击者、没有太多重要数据,电脑使用量也不高的背景下开发出来的,因而早已无法胜任当今网络环境下的应用部署。而且近几代的Windows都已经不再使用SMBv1协议了,如Vista已升级到SMBv2,之后版本则升级为SMBv3。
不过迄今为止,大量的电脑,尤其是企业办公用电脑没有升级,也就意味着这些机器依然再使用SMBv1。Radware安全副总裁Carl Herberger则指出,一个组织的官僚程度越高,它越不会更新其软件。
资安公司Armor研究员Chris Hinkley则表示,Petya的攻击可会加密和锁定整个硬盘,而不是像之前锁定个别文件,会更加麻烦。
勒索结束了,病毒却没有
这款变种Petya远不如WannaCry疯狂,上文已经提到了,勒索账户已经被相关部门封锁,以至于攻击者的勒索失去了意义。随后,确实也没有在发生变种Petya勒索事件。
攻击者是结束了,但是这并不意味着攻击手段结束。
芬兰资安公司F-Secure研究人员指出,此次病毒可能还有其他通道可以传播,对于某些通道来说,就算已经更新电脑恐怕还是会有危险。
从数据来看,中国即使拥有7亿的联网用户,但是WannaCry仅仅造成了小规模的攻击,Petya则更少,近乎为0。
不过仍需要保持Windows更新,防患于未然才是最好的解决办法。