席卷全球的勒索病毒又来了!
外事儿注意到,这次最先受到攻击的是东欧国家乌克兰。周二,乌克兰政府、国家银行和大型电力公司都收到网络攻击的警告,乌克兰的机场和地铁也受到影响。
同上次引发全球150多个国家和地区超过20万台电脑中招的Wanna Cry勒索病毒类似,受到感染的电脑会收到英文通知,要求相当于300美元比特币的赎金。
乌克兰国家银行称,“由于网络攻击,这些银行难以进行客户服务和银行操作”。
乌克兰首都基辅的鲍里斯波尔机场也表示,“我们的IT部门在共同解决问题。由于这个状况,可能将有飞行延误,机场官方网站暂停工作。”
很快,这一大型勒索病毒就席卷全球,英国、挪威、印度、俄罗斯、西班牙、法国等国都遭到勒索病毒的袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。
福布斯新闻报道称,这次的肇事病毒不是Wanna Cry,而是一个叫Petya的新型病毒。卡巴斯基实验室的专家表示,“这一病毒的袭击规模与Wanna Cry相比有增无减”。
截至目前,这一新型勒索病毒对中国的影响并不大,仅有个别跨国外包公司受到影响。
这一勒索病毒是怎么产生及传播的?会不会波及中国?
对此,外事儿(微信ID:xjb-waishier)咨询了杭州安恒信息技术有限公司安全研究院院长吴卓群。
外事儿:新病毒与之前的Wanna Cry勒索病毒有何不同?
吴卓群:首先,被攻击的电脑受感染程度更深了。
此前,Wanna Cry勒索病毒只会对文件进行加密,受到攻击的电脑可通过重启的方式恢复系统。
这次的新病毒Petya除了对计算机中的文件进行加密之外,还对磁盘引导区做了加密处理。也就是说,被感染的计算机重启后也无法恢复系统,依然会看到告知支付赎金的界面。
而且,新病毒的病毒工具包中还装有PsExec工具,可以对被感染电脑进行远程操作,并通过一些root口令(超级管理员密码),直接在其他计算机上执行命令。
此外,病毒的攻击方式也有所不同。
上次的Wanna Cry勒索病毒必须首先在互联网传播,再攻击到内网。
在这个基础上,这次的新病毒可能还利用了RTF富文本格式的漏洞进行攻击。
新病毒将RTF富文本格式作为攻击的载体,将病毒通过电子邮件的方式发送到目标人员的邮箱中。
安全意识不高的人,在点击了携带病毒的文件后,病毒就会到达内网,接下来就会通过同Wanna Cry一样的方式传播,导致内网大量的感染。
外事儿:为何会在短时间内出现两次全球范围网络袭击?
吴卓群:就目前的情况来看,两次勒索病毒袭击都是利用了“永恒之蓝”漏洞,通过这个漏洞,病毒的传播非常方便。虽然针对“永恒之蓝”漏洞的补丁早就出现,但依然有很多计算机没有及时打补丁。
我们可以看到,两次病毒袭击的攻击对象都是政府机构、大型企业等内网。通常情况下,内网与外网是隔离状态,防范能力相对较弱。
而且,这次病毒攻击是有目的性的,应该是特定人员对特定的目标进行了投递,比如给特定的人员发送了邮件,才会受到感染。根据目前的情况判断,新病毒的投递目标不在中国。
外事儿:我们该如何应对这次勒索病毒袭击?
吴卓群:由于勒索者公布的邮箱已被查封,因此,现在即使交付了勒索金,也无法收取到恢复系统的秘钥,所以必须从防范病毒感染的角度入手。
首先要修复“永恒之蓝”漏洞。国内大部分暴露在互联网上的服务器都打过补丁,但很多内网的计算机还没有打。对于打过补丁的电脑而言,病毒很难进行远程直接攻击。
由于新病毒主要通过邮件进行投递,修复了漏洞的计算机仍然有可能感染病毒。对于收到的恶意邮件或不确定来源的邮件,尽量不要打开。
摘自网易
