據外媒（Ars Technica）報道，一個類似WannaCry病毒的新型勒索病毒在本周二爆發，至少80家大型公司受到影響，其中包括制藥大廠默克集團、國際航運公司馬士基、律師事務所DLA Piper、英國廣告公司WPP以及零食公司億滋國際。安全公司稱已有至少1.2萬臺電腦在本輪攻擊中中招。

　　本次爆發的病毒被一些研究人員稱為“PetyaWrap”，病毒借助高效的傳播手段，可以攻破網絡防護，迅速感染網絡內的計算機。與令人心有余悸的WannaCry一樣，PetyaWrap也利用了Windows系統中的“永恒之藍”漏洞。永恒之藍據傳首先由美國國家安全局（NSA）發現，NSA在漏洞基礎上秘密開發并囤積間諜工具，不料這批工具有一天會失竊，并被黑客泄露到互聯網上。

　　卡巴斯基實驗室發布的一篇博文稱，周二爆發的病毒同時利用了另一個被稱作“永恒浪漫”（EternalRomance）的NSA漏洞。微軟早在3月針對以上漏洞發布了修復補丁，不幸很多機構電腦更新滯后，給了日后的病毒可乘之機。自稱“影子經紀人”（Shadow Brokers）的黑客組織在補丁發布一個月后將這些NSA黑客工具公布在網上。人們將這些惡意軟件形容為“網絡軍火”，任何進具備中等計算機技術的人便能夠使用這些惡意軟件發動大規模攻擊。

　　除了利用新漏洞，PetyaWrap還有其他令人印象深刻的改進。根據卡巴斯基實驗室的說法，病毒還使用Mimikatz黑客工具從同一網絡內的其他計算機上提取密碼。憑借這些密碼，病毒可以通過PSExec遠程工具或其他命令行途徑感染網絡中的其他電腦。意味著即便用戶封堵了“永恒之藍”和“永恒浪漫”漏洞，仍無法對新病毒免疫。在受攻擊最嚴重的烏克蘭，病毒還借助MeDoc軟件的更新機制提升自己的感染效率。安全人員描述MeDoc軟件本身受到攻擊，惡意軟件隨后通過軟件更新機制進行傳播。

　　定位最初受害者

　　卡巴斯基表示，MeDoc是整個攻擊鏈中最初的感染點，思科安全團隊Talos在博文中對此表示贊成，并指出攻擊與烏克蘭稅收系統軟件MeDoc更新機制之間的聯系。另一家安全軟件公司Eset將MeDoc描述為“全球泛濫全面啟動的起點”。推特上一則尚未被證實的分析也認為MeDoc軟件的更新機制遭到入侵在本輪病毒傳播中發揮了關鍵作用。

　　MeDoc網站上對此的表述含混不清：

　　“注意！

　　我們的服務器發動了病毒攻擊。

　　我們為帶來的不便致歉?！?/p>

　　許多分析師將這篇帖子解釋為MeDoc承認了自己無意中在病毒傳播中發揮了作用。不過有個別MeDoc員工出面反駁這種武斷認定。

　　在被病毒感染后，電腦會在一小時之內重啟。電腦在重啟后顯示數據遭鎖定，只有支付價值300美元的比特幣才能解鎖。普通用戶可以在感覺事情不對時搶先斷電中斷病毒加密進程，等待專業安全人員進行恢復。

　　銀行、電力公司和機場遭殃

　　媒體報道病毒對世界各地多處機構的正常運行帶來干擾，烏克蘭受害情況尤為嚴重。據報道，烏克蘭的地鐵網絡、電力公司、政府部門、機場、銀行、媒體和國有企業均報告了病毒攻擊。切爾諾貝利核設施的檢測系統也受到影響。路透社發布的一張照片顯示，烏克蘭國家儲蓄銀行（Oschadbank）的一個ATM取款機被鎖定，屏幕上顯示需要付費才能解鎖。烏克蘭國內主要能源企業Ukrenergo也報告IT系統受到攻擊，不過表示電力供應不受影響。彭博社報道烏克蘭物流公司Nova Poshta因受到攻擊而無法正常投遞包裹。烏克蘭中央銀行在其官網上警告稱數家銀行成為黑客的攻擊目標。

　　在上月爆發的WannaCry病毒中，英國一位年輕研究員無意中發現了病毒的自毀代碼，成功組織病毒蔓延。如今研究人員表示，人們可能無法在本輪病毒中再次發現幸運開關。

　　“WannaCry有許多愚蠢的bug?！毖芯繂TKevin Beaumont在推特上發文稱。他認為WannaCry破壞力有限，似乎開發者受限于預算而沒能完善代碼。

　　有未經證實的報告稱，新病毒對已安裝補丁的Windows 10電腦同樣奏效。Windows 10是迄今為止微軟最安全的系統，本身并沒有“永恒之藍”漏洞。此外，這篇未經證實的報告還指出，受感染的Windows 10電腦使用的反病毒軟件也未能防御病毒的攻擊。

　　卡巴斯基和另一家名為F-Secure的安全軟件廠商均認為，新病毒使用了經過修改的永恒之藍漏洞。安全廠商Eset稱新病毒還使用了PSExec命令行工具。目前各種感染方式之間的確切關系尚不清楚。根據East的說法，病毒首先通過永恒之藍漏洞潛入網絡，隨后使用PSExec在電腦之間傳播。這一新式攻擊方式的組合可能解釋了為何新病毒能在全球普遍更新了WannaCry補丁之后還能爆發和快速蔓延的原因?！皟H需借助一臺未打補丁的電腦進入網絡，惡意軟件就可以獲得管理員權限并感染其他電腦?！盓ast研究員接受Ars Technica采訪時表示。

　　加密勒索+密碼盜竊雙重威脅

　　網絡安全機構Recorded Future的研究員認為，周二爆發的病毒似乎同時進行了兩種不法行為。首先是病毒使用了新版本的Petya勒索軟件，這是一種最早在2016年年初出現的勒索軟件。另有多位研究員也表示新病毒是Petya的更新版本，卡巴斯基認為周二的病毒是一種此前從未見過的勒索病毒。不同于多數勒索病毒，PetyaWrap不加密單個文件，而是加密計算機的整個文件系統。

　　病毒攻擊電腦的主引導記錄，使計算機無法進入系統，也無法加載其他關鍵組件。類似的加密手段也可見于此前的Petya勒索病毒中。周二的病毒以電腦數據為條件，向用戶勒索價值300美元的比特幣。

　　另外一個不法行為是病毒竊取計算機的用戶名和密碼，并上傳至黑客的服務器。這意味著，即便用戶無法使用被鎖定的電腦，黑客仍有辦法遠程訪問被加密的數據，并有可能憑借這些數據進行二輪勒索。

　　周二的病毒在爆發后立即呈現蔓延之勢。病毒最先在烏克蘭和俄羅斯被發現，隨后很快傳播到波蘭、意大利、西班牙、法國、印度和美國。英國廣告公司WPP在推特上表示旗下部分IT系統遭受病毒攻擊。律師事務所DLA Piper建議雇員將所有筆記本電腦從擴展塢斷開連接，并關閉所有電腦。反病毒軟件廠商Avast報告迄今為止已發現1.2萬次攻擊，安全公司Group-IB表示至少有80家公司的網絡受到感染。路透社報道，負責全球1/7集裝箱貨運量的馬士基物流集團遭病毒攻擊，多處站點和業務部門的IT系統陷入中斷。

　　新病毒的支付方式也不同以往。以往勒索病毒為每個電腦分配單獨的收款地址，但新病毒要求用戶在付款后用郵件發送其付款信息。不過黑客郵箱在病毒爆發數小時之后遭到封殺，致使億支付贖金的用戶也無法與黑客取得聯系。病毒未有遠程跟蹤和發送解鎖指令的跡象，這可能意味著黑客的真正目的是單純搞破壞，而非牟利。

　　根據卡巴斯基的統計，截止到太平洋時間周二上午，黑客一共收到24筆比特幣匯款，價值約6000美元。

　　新病毒爆發和傳播之迅速堪比WannaCry。上月肆虐全球的WannaCry在90多個國家感染了超過72.7萬臺計算機。WannaCry的蠕蟲病毒本質讓其可以在相連接的計算機之間快速地自動傳播。本次爆發的PetyaWrap是否具有相同的自我復制能力尚不清楚，但已中招的電腦數量和更新的攻擊手段暗示PetyaWrap的威力可能不遜于WannaCry。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇