6 月 29 日,微软周三发布报告称,新型“Petya”勒索病毒周二开始对全球电脑系统发动大规模的攻击,数据显示,全球目前已有 65 个国家和地区证实遭到 Petya 勒索病毒攻击。
尽管 Petya 勒索病毒最初只攻击了乌克兰,仅在乌克兰这一个国家,就有 12500 台电脑遭到了该病毒的攻击。但此后不久,Petya 病毒就迅速蔓延到比利时、巴西、英国、德国、俄罗斯、美国以及其它多个国家和地区。
这一新勒索病毒之所以被命名为“Petya”,主要因为其最初被认为就是去年首度被发现的一个恶意勒索病毒的变种。然而,一些安全专家已经将此新病毒认定为“NotPetya”,以此表明该新勒索病毒受到了去年 Petya 病毒的“激励”,但新病毒又以全新的勒索方式发动黑客攻击。
至于到底是什么样的黑客在使用这个全新的勒索病毒,目前仍不得而知,但是,安全研究人员认为,此次新 Petya 勒索病毒是从乌克兰的一家制造税务会计软件的公司开始的,这家公司就是M.E.Doc。
新 Petya 勒索病毒此次率先攻击了M.E.Doc 公司,之后通过该公司的软件更新系统,将恶意代码传到了成千上万台电脑之中。因此,乌克兰此次成为新 Petya 勒索病毒攻击最严重的国家之一,也就不足为怪了。
另外,从破坏程度而言,新 Petya 勒索病毒已被证明是一个极具破坏性的病毒。尽管黑客利用新 Petya 勒索病毒攻击了用户电脑之后,会对用户的文件加密,进而索要价值 300 美元的比特币作为赎金,然而,一些受害用户在支付了赎金之后,仍无法进入电脑,也就无法打开文件。据称,目前至少已有 45 位受害者向利用新 Petya 勒索病毒发动攻击的黑客支付了赎金,他们支付的总金额约为 11000 美元。
当然,相比较整个被新 Petya 勒索病毒攻击的电脑数量而言,黑客此次获得的赎金相对较少,因此,一些分析人士认为,此次新 Petya 勒索病毒在攻击之后,黑客虽然提出了索要赎金的要求,但此次攻击的目的可能并非集中于金钱。网络安全公司 McAfee 的首席科学家拉杰-萨马尼(Raj Samani)表示,“这是一起名义上的勒索,但实际上却是一种毁灭。”
今年 5 月,全球 150 多个国家和地区遭到了勒索病毒 WannaCry 的疯狂攻击,数十万的电脑被袭击。与 WannaCry 相似的是,新 Petya 勒索病毒也利用了“永恒之蓝(EternalBlue)”的病毒代码,继而对外传播。“永恒之蓝”是由美国国家安全局(NSA)首先发现的基于 Windows 系统的漏洞库。
尽管微软在获悉这些漏洞之后,于今年 3 月率先开始发布了相关的安全补丁,并在上个月 WannaCry 勒索病毒开始蔓延之际就立即为早期的操作系统发布了紧急补丁,但是,业界认为,被新 Petya 勒索病毒感染的电脑系统并没有安装可以修补这些漏洞的安全更新软件。
网络安全公司 Avast 向 IBT 提供的数据显示,全球目前至少仍有 3800 万台 PC 仍未安装可以阻止 WannaCry 和 Petya 之类勒索病毒攻击的安全更新软件。
与 WannaCry 不同的是,目前研究人员还没有找到有效的通用办法来阻止 Petya 病毒的传播,不过,个别用户可以采用一些特殊的措施来阻击 Petya 病毒的传播。
网络安全机构 Cybereason 的信息安全研究员艾米特-赛普尔(Amit Serper)发现,新 Petya 勒索病毒会在被感染的计算机上寻找一个特殊的本地文件,如果找不到这个文件,那么被侵电脑就不会被加密。这个特殊的文件就是C:Windowsperfc。这意味着,受害者可以在 PC 上新建文件,设置为只读,随后即可阻止 Petya 勒索病毒的执行。这样做可以阻止勒索病毒的运行,但这种做法更像是在打“疫苗”,而不是删除开关(killswitch)。如果存在删除开关,那么勒索病毒的开发者可以直接利用开关,阻止病毒在全球范围内的传播。