面对席卷全球的“Petya”勒索软件攻击，我们该如何反击？

1顶
0踩

2017-06-30 09:44 by 副主编 jihong10102006 评论(1) 有10729人浏览

Petya 软件攻击

声明：ITeye资讯文章的版权属于ITeye网站所有，严禁任何网站转载本文，否则必将追究法律责任！

位于欧洲和美国的许多公司及组织近日收到了名为“Petya”的勒索软件攻击，以致系统瘫痪。这款恶意软件影响了众多大型公司，包括广告商 WPP、食品公司 Mondelez、法律公司 DLA Piper 以及丹麦的运输公司 Maersk，最终导致这些公司的电脑和数据被锁定并以此为要挟，勒索赎金。

这是在过去的两个月来，全球范围内规模第二大的勒索软件攻击。五月初，WannaCry 发起了规模最大的勒索软件攻击，而英国国家卫生服务局（Nathional Health Service, NHS）是受其感染最严重的组织之一。一个自称为影子经纪人的黑客组织在四月份发布了一个美国国家安全局（National Security Agency, NSA）的机密文件文件，而 WannaCry 使用其文件中披露的一个漏洞进行了大规模的勒索攻击。

WannaCry 勒索软件攻击影响了分布于 150 多个国家超过 23 万台的电脑，其中受到影响最大的是英国国家卫生服务局（Nathional Health Service, NHS）、西班牙电话公司 Telefónica 和德国国家铁路公司。

跟 WannaCry 一样， “Petya”通过网络在使用微软 Windows 系统的电脑中传播，但这次的勒索软件到底是什么，攻击是如何发生的，又应该如何停止这次攻击呢？

什么是勒索软件？

勒索软件是恶意软件的一种，它禁止了访问电脑、数据的权限，以控制权为要挟索取赎金。

勒索软件是如何运作的？

当计算机感染病毒时，勒索软件加密重要的文件，然后要求用户用比特币（Bitcoin）的形式交付赎金，以获得解锁文件所需的数字密钥。如果受害者最近没有备份文件，他们就得在支付赎金与丢失所有文件中选择。

“Petya”是如何运作的？

该勒索软件获取电脑的控制权，并要求用户支付 300 比特币。一旦某一台计算机被感染，“Petya” 就能通过两个主要途径迅速传播到该组织中：使用微软 Windows 中的 EternalBlue 漏洞（虽然 Microsoft 发布了补丁，但不是每个人都安装了），或利用两个 Windows 管理工具。 “Petya” 会尝试其中一个选项，如果它不起作用，它会尝试另一个选项。来自 Proofpoint 网络安全公司的 Ryan Kalember表示：“它具有比 WannaCry 更好的传播机制。”

有防御措施吗？

大多数大型杀毒软件公司声称他们的软件已经更新，具有主动检测并防范 “Petya” 感染：例如，使用 20170627.009 定义版本的 Symantec 产品。而 Kaspersky 也表示其安全软件现在能够发现恶意软件。此外，请大家务必更新 Windows – 至少要安装三月份针对防范 EternalBlue 系统漏洞的布丁 – 以阻止一个主要的感染途径，并且可能在未来有效防止不同有效载荷的攻击。

对于这种类型的恶意软件攻击的爆发，工程师们已经发现了另一个防御方法：“Petya”检查只读文件C:\Windows\perfc.dat，如果“Petya”能找到这个只读文件，勒索软件将不会运行加密软件。但是实际上，这种“疫苗”并不能防止病毒感染，恶意软件仍然会把你的电脑作为立足点，试图传播到同一网络上的其他设备。

为什么叫 “Petya”?

其实严格上说，它不应该命名为“Petya”。这款恶意软件似乎与一款曾经被称为 “Petya” 的勒索软件在代码上有很多相似之处，但在大规模爆发开始的几小时之后，网络安全研究人员注意到“看起来的相似只存在表面之上”——其内核与曾经的“Petya”有较大的差别。俄罗斯Kaspersky 实验室的研究人员甚至给其起名 “NotPetya” ，并且越来越多地使用 “Petna” ，“Pneytna”等等。除此之外，其他独立发现这款恶意软件的研究人员还给它起了不同的名字：比如说，来自罗马尼亚Bitdefender称其为Goldeneye。

病毒从何处爆发？

据乌克兰的网络警察表示，这次袭击似乎提前在一款会计程序的更新机制中进行了预备播种，而与乌克兰政府部门协同工作的公司必须使用这个会计程序。这就解释了为什么这么多的乌克兰组织受到影响，包括政府、银行、国家电力公司和基辅的机场和地铁系统。切尔诺贝尔核辐射监测系统也被迫下线，迫使员工使用手持仪器来测量核电站排阻区的辐射水平。而第二次病毒感染的爆发是由埋藏了恶意软件附件的网络钓鱼活动触发的。

它的影响范围有多大？

“Petya”勒索软件在欧洲和美国的大型企业中，包括广告公司WPP，法国建筑材料公司Saint-Gobain和俄罗斯钢铁和石油公司Evraz和Rosneft造成了严重破坏。食品公司Mondelez，法律公司DLA Piper，丹麦航运和运输公司AP Moller-Maersk以及在匹兹堡运营医院和护理设施的Heritage Valley Health System也表示，他们的系统受到了恶意软件的攻击。

至关重要的是，和 WannaCry 不同的是，这个版本的“Petya”只试图在网络内部传播，而不尝试在向外部传播。这个机制可能最终限制了恶意软件的传播范围，看起来新感染率不会像之前一样在一夜之间暴涨。

那么这就是另一次投机取巧的网络犯罪？

最初，它的爆发看起来是另一个利用在网上泄漏武器的网络犯罪。然而，安全专家则认为，这次袭击的付款机制较为业余，真正的网络犯罪罪犯不会采用如此业余的手法。首先，赎金票据给了每个受害者相同的比特币付款地址——大多数勒索软件都为每个受害者创建一个独特的付款地址。其次，恶意软件要求受害者通过一个电子邮件地址与勒索者进行通信，但电子邮箱提供商在发现勒索者使用该电子邮件地址的用途后，就紧急对这个电子邮件地址进行了封锁。这意味着即使有人支付赎金，他们也无法联系到勒索者，索取密钥来解锁他们的文件。

谁在幕后操纵？

幕后黑手目前还不是清楚，但似乎有可能是有人将实际上对乌克兰政府具有强大破坏性的恶意软件伪装成勒索软件。安全研究员尼古拉斯•韦弗（Nicholas Weaver）是这么对网络安全博客Krebs on Security说的： “‘Petya’是一个蓄意，恶意，破坏性的攻击，或者是伪装成勒索软件的（对自身攻击效果的一个）测试”。假名为 Grugq的安全研究员指出，真正的Petya“以赚钱为目的的犯罪团体”，但这个新版本“绝对不是为赚钱而设计的”。

“这个新版本的设计意图在于快速传播并造成损害，并且以一个以假乱真的勒索软件的形象示人，” 他补充道。并且，虽说人们对于支付机制众说纷纭，此恶意软件对于支付机制的设计也不免太鸡肋：它仅有一个硬编码付款地址，这意味着钱是可追溯的；受害者需要向勒索者发送电子邮件证明成功支付赎金，这意味着电子邮件地址可以被禁用；并且要求将受感染机器的60个的区分大小写的“个人识别密钥”从一台无法复制和粘贴的计算机发送。把这一切种种全部组合起来意味着，这可能是一个人所能想到的最差的支付流水线。（就像“请把支票寄到到：Petya Payments，PO Box …”）。

乌克兰在过去多次指责俄罗斯对其进行网络攻击，包括一次在2015年底对其电力网络的攻击，致使乌克兰西部部分地区暂时断电。而俄方否认对乌克兰进行网络攻击。

如果被勒索软件感染了，应该怎么做？

在勒索软件感染计算机后会等待大约一个小时，然后尝试重新启动机器。当机器重新启动时，您可以关闭计算机，以防止文件被加密，并尝试拯救您的文件——如从被感染的计算机中把文件转移出来。Twitter上的@HackerFantastic 表示：

如果你的电脑正在重启且你看到了这样的信息，立即关机！这是加密过程！如果你立即关机了，那你的文件应该还没事。

如果系统重新启动并且显示了赎金票据，请不要支付赎金——“客户服务”电子邮件地址已被关闭，所以即使支付了赎金，你无论如何都无法获得密钥解锁文件。你应该立刻断开电脑与互联网的连接，重新格式化硬盘驱动器，并从备份重新安装文件。建议定期备份你的文件，并使防病毒软件保持最新。

引用

原文：‘Petya’ ransomware attack: what is it and how can it be stopped?
作者： Olivia Solon、Alex Hern in London
译者：汤益榕
责编：屠敏，关注物联网、移动开发领域，寻求报道或投稿请发邮件tumin@csdn.net。