本文参考了Freebuf、腾讯安全管家、bleepingcomputer等多个信息来源。
据媒体报道,被称为Petya的病毒正在欧洲、美国和南美洲地区大肆传播。这一病毒不仅袭击了纽约、鹿特丹和阿根廷的港口运营系统,而且也破坏了基辅的政府系统。乌克兰遭受了大规模的“未知病毒”攻击。包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。另外,该病毒也让英国媒体公司WPP的运营系统瘫痪。
此外,该病毒甚至破坏了前切尔诺贝利核电厂的防控系统,迫使科学家手动检测辐射水平。
病毒感染分析
各大公司均对该病毒进行了分析,他们普遍认为本次的攻击是勒索病毒Petya的新变种。这次的Petya勒索程序从早前的Petya中借用了部分代码。所以国外的某些研究人员将其称为NotPetya、Petna或者SortaPetya。
腾讯安全管家发布分析称,根据乌克兰CERT官方消息,邮件附件被认为该次病毒攻击的传播源头,邮箱附件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中,并没有完整重现整个攻击过程。
在2016年,Petya勒索软件的传播途径是通过邮件进行传播,邮件伪装成求职简历,木马通过链接的方式加入邮件中并引导受害者运行。
腾讯电脑管家认为,变种病毒样本运行之后,会枚举内网中的电脑,并尝试在445等端口使用SMB协议进行连接。深入分析发现病毒连接时使用的是“永恒之蓝”(EternalBlue)漏洞,此漏洞在之前的WannaCry 2.0勒索病毒中也被使用,是造成WannaCry全球快速爆发的重要原因之一,此次变种Petya勒索病毒也借助此漏洞达到了快速传播的目的。变种Petya勒索病毒比WannaCry有过之而无不及,它会尝试从内存和文件中寻找密码,并用其他工具感染整个网络的电脑,即使其他的电脑已经打过补丁,也可能中招。
Petya和其他流行勒索软件不一样,它是通过攻击底层的磁盘架构达到无法访问整个系统的目的。病毒感染分为两个阶段。第一个阶段,病毒会修改系统的MBR引导扇区,并导致电脑蓝屏,磁盘内的文件还没有被加密,我们仍然可以读取。如果电脑进行重启,病毒代码会在Windows操作系统启动之前控制电脑,执行加密等恶意操作。此时,病毒会显示一个伪装界面,假装称正在修复系统,如果强行断电会丢失全部数据。但这个过程,实际是病毒加密文件的过程,加密完成后,病毒向受害者勒索赎金。需要注意的是,变种Petya使用了AES-128和RSA-2048双重加密的机制,一旦加密完成,回复文件的希望渺茫。
加密的流程和2016年出现的勒索病毒很相似,也有安全人员在Twitter上确认了二者的关系。但这一次的病毒感染后留下了勒索邮箱作为联系方式,此前则要通过暗网地址获取解密密钥。
病毒的防范和后续
此前在WannaCry 2.0中有一个开关,如果能病毒能访问一个域名便会停止攻击。这一次的病毒,也有一个“开关”来自Cybereason的安全研究人员Amit Serper最先找到病毒阻止持续感染计算机的方法。他发现,会首先搜索某个本地文件,如果说该文件存在,则退出加密过程。也就是说,用户只要电脑中建立该文件,并将该文件的权限设为只读,就能阻止变种Petya勒索程序执行了。
对于大众而言,尽快安装防病毒软件和修复系统漏洞是防范病毒的合理方法,此外,也不要运行可疑文件。
据外媒报道,黑客只拿到了29笔赎金,价值7497美元(约合5.1万元)。考虑到勒索病毒波及的广度,黑客恐怕要气的吐血了。黑客要求给比特币钱包交付赎金并发送邮件来确认支付成功,才可能收到解密密钥。但黑客电邮已经被其电邮公司Posteo封号,公司发表声明表示,我们不会容忍自家平台被黑客利用,迅速封掉电邮帐号是必须的。