一个月前的Wannacry勒索病毒事件大家还记忆犹新,全球多个国家中招,北京时间27号晚间,一个新的Petya勒索病毒变种又开始肆虐,英国、乌克兰、俄罗斯等欧洲多国已大面积感染。据一些媒体报告,国内一些外企电脑也遭遇瘫痪。
据报道,全球最大的广告集团WPP,是英国第一家被病毒感染的公司,员工们已经被告知关闭电脑,不要使用公司WiFi。
冲击最大的当属乌克兰。据悉,乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都受到了攻击。此外,乌克兰首都基辅的鲍里斯波尔国际机场也受到了影响,造成大面积的航班延误,铁路也中招……
受影响的乌克兰
乌克兰副总理罗岑科·帕夫洛称职表示,他和乌克兰政府的其他成员无法使用电脑。他还称,政府的所有电脑都在播放这一被攻击的画面。他上传的自己的电脑画面文字显示,“您的其中一个磁盘包含错误,需要修复”,并警告用户不要关闭电脑,否则所有的数据都会丢失。
乌克兰中招的ATM机
此外,俄罗斯(俄罗斯石油公司Rosneft)、德国、西班牙、法国、丹麦(航运巨头APMoller-Maersk)、印度、美国(律师事务所DLAPiper)也受到不同程度的影响。
一旦感染,该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR,病毒会进一步加密文档、视频等磁盘文件。黑客留下的勒索信要求受害者将比特币发送到预定网址,然后通过邮件联系黑客解锁文件。
它的勒索金额与此前Wannacry病毒完全一致,均为折合美元的比特币。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款,其“吸金”速度完全超越了Wannacry。
黑客要求受害者支付价值美元的比特币,但为了知道谁付款了,黑客还指示受害者通过邮件发送比特币钱包ID和“个人安装密匙”。解锁密匙由勒索病毒随机产生,并由数字和字母组成。因此要解锁文件需要黑客提供特定的密匙。但现在这个过程不可能完成。
Posteo公司称:“今天(德国时间)中午时分我们意识到勒索病毒制造者利用我们的邮箱联系,我们的反滥用团队立即核实并直接关闭了该账号。”
该公司还称:“从中午开始勒索者不再能访问该邮箱或发送邮件,也无法向该邮箱发送邮件。”换句话说,受害者无法通过邮件联系黑客,也无法发送必要的信息解锁文件。截止目前,约有20位受害者向黑客的比特币网址发送近美元的比特币。
此前,国内的安全公司已确认该勒索病毒为Petya的变种,传播方式与WannaCry类似,利用EternalBlue(永恒之蓝)和OFFICEOLE机制漏洞(CVE--)进行传播。
不过,卡巴斯基实验室的分析人员表示,这种最新的威胁并不是之前报道中所称的是一种Petya勒索软件的变种,而是一种之前从未见过的全新勒索软件。尽管这种勒索软件同Petya在字符串上有所相似,但功能却完全不同,并将其命名为ExPetr。
与WannaCry的差异
这次的新型勒索病毒变种,是利用系列漏洞进行传播的新勒索病毒家族。与5月爆发的WannaCry相比,新型勒索病毒变种的传播速度更快。此次勒索病毒的主要特点有:
1.该勒索病毒使用了多种方式在内网进行攻击传播,包括使用了NSA的武器库中的永恒之蓝、永恒浪漫系列远程攻击武器,以及利用内网共享的方式传播。因此不仅没有及时修复NSA武器库漏洞的用户会受影响,只要内网中有其他用户受到攻击,已经打了补丁的电脑也可能会受到攻击。
2.此次的勒索病毒会导致电脑不可用。此前的WannaCry病毒仅会加密用户文件,但是用户的电脑仍暂时可用。此次的勒索病毒会感染用户电脑的引导区,导致用户电脑无法正常开机(强制显示勒索信息)。
3.此外,该勒索病毒加密的文件类型相比WannaCry少,一共有65种,而WannaCry为种(包括常见文件类型)。
传播方式
首席安全工程师郑文彬称,此次最新爆发的病毒具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。
根据的威胁情报,有用户收到带有附件名为:“Order-.doc“的邮件,该邮件附件为使用CVE--漏洞的恶意文件,漏洞触发后从“
转载请注明:http://www.wangguoqiangq.com/sglbxw/7454.html
