如果现实中存在一个擂台的话,勒索软件WannaCry在五月份的冠军,没有之一。不过根据最新的消息来看,大自然的迭代还是很迅速的,因为作为后起之秀已经有一名新的成员:“Petya”,又叫作“Petwrap”,使用的依然是WannaCry所凭借以快速传播的SMBv1网络协议,利用的也依然是NSA的“永恒之蓝”。
“Petya”是本周才爆发的,目前还处在快速传播、野蛮生长的阶段,所以在各位起床的时候,就像生化惊悚电影里一样丝毫不知道自己正处在一系列剧变的开端。总结外媒的报导,“Petya”已经在72小时内瘫痪俄罗斯、乌克兰、西班牙、法国、英国、印度等国家作用于大型企业、发电厂、超市以及银行的超过30万台计算机。
“Petya”的需求似乎和“WannaCry”非常接近,即需要受害者用比特币支付300美元,即大概是2043元人民币,这其实不是个很大的数字,但是勒索手段已经下作很多,相较于“WannaCry”只是机械的在Windows系统框架下加密特定文件,“Petya”首先会让受害者的电脑重启,然后直接加密硬盘的MFT(Master File Table),然后像巨大的吸尘器一样扫描硬盘上所有的有价值的文件,并且还会瘫痪原有的MBR分区格式,并用自带的恶意代码替换原有的MBR,最后保证受害者的电脑无法正常启动,可谓较于之前的WannaCry要高层次的多。
被攻击的国外超市,如果口算心算不过关的话,就不用做生意了
值得注意的是,一般用户的印象是等待微软提供安全补丁升级,但是欧洲著名安全服务供应商F-Secure首席研究员Mikko Hypponen表示“Petya”的攻击机制非常复杂而先进,即使是安装过安全补丁也很难幸免遇难。而根据VirusTotal.com的记录,在61款知名的安全软件中有44款可以通过最新的病毒库识别出“Petya”
目前“Petya”依然在快速传播中,值得关注的是,此前“WannaCry”虽然非常恶劣,但是主要得手的是没有正常更新的设备,因此国内很多公共场合的设备都中招,包括城轨、地铁等等,这次面对更加可怕的“Petya”,能否幸免也有待观察。