10分鐘感染5000台電腦,比WannaCry速度更快更強的Petya病毒,運作原理是什麼?

10分鐘感染5000台電腦,比WannaCry速度更快更強的Petya病毒,運作原理是什麼?

一種新的類似於WannaCry的勒索病毒——被稱為Petya的病毒正在歐洲、美國和南美洲地區大肆傳播。這一病毒不僅襲擊了紐約、鹿特丹和阿根廷的港口運營系統,而且也破壞了基輔的政府系統。另外,該病毒也讓媒體公司WPP、石油公司Rosneft以及核設施公司Maersk的運營系統癱瘓。

Petya是一種什麼樣的勒索病毒?

Petya勒索病毒的傳播方式與今年5月爆發的WannaCry病毒非常相似。

這是一種類似於「WannaCry」的勒索病毒新變種,傳播方式與「WannaCry」類似,其利用EternalBlue(永恆之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進行傳播,同時還具備區域網傳播手法。

言外之意,Petya勒索病毒變種的傳播速度更快,它不僅使用了NSA「永恆之藍」等駭客武器攻擊系統漏洞,還會利用「管理員共享」功能在內網自動滲透。此外,即使安裝了之前永恆之藍漏洞的修補更新,使用者一樣會中招,這是 Petya 最可怕的地方,因此,就算電腦更新到Windows 10也不見得安全。

(6/28下午4點更新:關於這點,我們今天詢問微軟亞太區全球技術支援中心資訊安全暨風險管理經理林宏嘉,他表示這應該是誤傳,據他掌握的資訊,Windows 10安裝了之前永恆之藍漏洞的修補更新,應該就不會因為永恆之藍的漏洞而中招,不過,Petya勒索病毒採取了不只一種方式入侵,如果Windows只更新了永恆之藍的安全漏洞,不見得百分之百安全)

騰訊實驗室發現病毒採用多種感染方式,其中透過郵件投送病毒的方式有定向攻擊的特性,在目標中毒後會在內網橫向滲透,透過下載更多載體進行內網探測。

10分鐘感染5000台電腦,比WannaCry速度更快更強的Petya病毒,運作原理是什麼?

在歐洲國家重災區,新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦,多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷,甚至烏克蘭副總理的電腦也遭到感染。

Petya勒索病毒最早出現在2016年初,以前主要利用電子郵件傳播。最新爆發的類似Petya的病毒變種則具備了全自動化的攻擊能力,即使電腦更新到最新,也不見得百分百安全。

該病毒會加密磁碟開機磁區(MBR),導致系統被鎖死無法正常啟動,然後在電腦螢幕上顯示勒索提示。如果未能成功破壞MBR,病毒會進一步加密文件、影片等磁盤文件。

當機重開機卻出現骷髏頭畫面

根據趨勢科技表示,光是將檔案加密還不足以逼迫使用者,因此,Petya的特徵就是會讓電腦出現藍色當機畫面,並且在電腦重新開機時顯示勒索訊息,使用者根本無法進入作業系統。想像一下當您打開電腦電源之後,電腦上出現的不是熟悉的 Windows 開機畫面,而是一個由 $ 組成的骷髏頭閃爍的紅色畫面。

10分鐘感染5000台電腦,比WannaCry速度更快更強的Petya病毒,運作原理是什麼?圖 1:感染了勒索軟體Petya 後,電腦會當機,重新開機,會出現骷髏頭紅色畫面

 

「Petya」不僅會修改被感染電腦的主要開機磁區 (MBR),讓使用者無法開機,更值得注意的是它會經由雲端儲存服務 (Dropbox) 來進入受害者電腦。

歹徒甚至提供了詳細的步驟來告訴使用者如何下載 Tor (洋蔥路由器) 瀏覽器以及如何使用該瀏覽器來付款以取得解密金鑰。

10分鐘感染5000台電腦,比WannaCry速度更快更強的Petya病毒,運作原理是什麼?

不過趨勢科技也說明,針對此新型勒索軟體企圖修改主要開機磁區(MBR)的惡意行為,許多防毒軟體其實都已經能主動偵測並加以封鎖。

 

病毒作者勒索郵箱已被封,交贖金也無法恢復系統

與WannaCry類似,解鎖Petya病毒也需要支付比特幣。據莫斯科網路安全公司Group-IB表示,這種病毒鎖住電腦後,要求用戶支付300美元的比特幣才能解鎖。根據比特幣交易市場的公開數據顯示,病毒爆發最初一小時就有10筆贖金付款,其「吸金」速度完全超越了Wannacry。

不過,最新消息顯示,由於病毒作者的勒索郵箱已經被封,現在交贖金也無法恢復系統。

根據McAfee首席科學家薩馬尼表示,之前對於網路攻擊的宣傳和教育明顯起了作用,大家都拒絕與駭客合作。這次發動攻擊的駭客至今只拿到了29筆贖金,價值7497美元。考慮到勒索病毒波及的廣度,這恐怕不是一筆好生意。

「恐怕最多也就20個人付了贖金,而且他們中大多數還是想要瓦解勒索病毒的安全研究人員。」薩馬尼說道。同時,他也強調,即使你付了贖金,也不代表就一定能解鎖電腦並拿回被駭客加密的文件,畢竟這樣「收錢不辦事」的情況在前段時間的WannaCry勒索病毒上就時有發生。

確實,即使你付了贖金,可能也拿不回被鎖的文件,畢竟發動攻擊的可不是什麼好人。同時,這些資金可能還會資助駭客發動下一輪攻擊。有分析人士認為,未來勒索病毒的感染範圍還將繼續擴大。而且很不幸的是,被感染的系統需要很長時間來恢復。

 

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則