6月27日晚间,代号为“Petya”的勒索病毒肆虐全球,根据外国媒体报道,俄罗斯石油公司Rosneft、乌克兰国家储蓄银行和政府系统都受到了攻击,仅俄、乌两国就有80多家公司被该病毒感染,就连乌克兰副总理的电脑也不幸中招。其他受影响的国家包括英国、印度、荷兰、西班牙、丹麦等。
经过深度分析,火绒安全团队惊讶地发现,Petya和以往的勒索病毒有很大不同——病毒作者精心设计制作了传播、破坏的功能模块,勒索赎金的模块却制作粗糙、漏洞百出,稍有勒索病毒的常识就知道,病毒作者几乎不太可能拿到赎金——或者说,病毒作者根本没打算得到赎金。
这种行为非常不可思议,火绒安全工程师认为,与其说Petya是勒索病毒,不如说它是披着勒索病毒外衣的反社会人格的恶性病毒,就像当然臭名昭著的CIH等恶性病毒一样,损人不利己,以最大范围的传播和攻击破坏电脑系统为目的。
从传播能力来看,进入内网环境的Petya传播方式非常丰富:利用“永恒之蓝”和“永恒浪漫”两个漏洞进行传播;还通过内网渗透使用系统的WMIC和Sysinternals的PsExec传播……所以,即使电脑修复了“永恒之蓝”漏洞,只要内网有中毒电脑,仍有被感染的危险。因此,Petya的传播能力和威胁范围远远超过5月份震惊世界的WannaCry病毒。
从破坏能力来看,Petya除了像其他勒索病毒一样加密锁定文件之外,还会修改硬盘主引导记录(MBR)、加密硬盘文件分配表(MFT),导致电脑不能正常启动。
Petya病毒开出了常规的价值300美金的比特币赎金,但是却没有像常规勒索病毒一样向受害者提供可靠、便捷的付款链接,而是选择用公开的电子信箱来完成赎金支付,很显然,这样做特别粗糙和脆弱。病毒爆发后,邮件账户立刻被供应商Posteo关闭,导致赎金交付的流程中断。相比于“精巧”、多样的传播和破坏功能,病毒作者对赎金支付功能很不重视,用一种不可靠、简单的方式“敷衍了事”,似乎并不关心能否收到赎金。
目前全球范围内没有一例成功支付赎金,进而解锁了文件和系统的报告。该病毒不光和其他勒索病毒迥然不同,更是违逆了近10多年来,各种病毒、木马大都已牟利为目的的“行业潮流”。
在病毒爆发的第一时间,火绒安全团队就紧急升级了病毒库。下载“火绒安全软件”,保持默认的自动升级和防御设置即可拦截病毒。最后再强调一句,鉴于赎金支付流程已经中断,火绒安全团队建议受害者别再去尝试支付赎金。
