TechWeb 7月7日報道 文/卡卡落
今年五月份勒索病毒在全球范圍內肆虐,根據媒體報道,中國也受到很大影響,除教育網、校園網以外,北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇病毒襲擊。這次勒索病毒影響廣泛,造成影響之大引起了全球范圍的關注。原本事件逐漸平息,但6月27日晚些時候,代號為“Petya”的勒索病毒變種之后繼續肆虐。
根據外國媒體報道,俄羅斯石油公司Rosneft、烏克蘭國家儲蓄銀行和政府系統都受到了攻擊,僅俄、烏兩國就有80多家公司被該病毒感染,就連烏克蘭副總理的電腦也不幸中招。全球很多地區和國家都受到了影響。
利用哪些漏洞傳播 如何破壞?
Petya雖然并不是一個合格的勒索病毒,但是造成的破壞性就更加可怕,要知道如果真的有重要資料,雖然付給不法分子贖金的做法我們非常不提倡,但對于很多用戶來說似乎是解決的方式之一。當然了我們最終還是要強調支付贖金并不是理性的做法,畢竟能夠做病毒勒索錢財的人也不會是什么講信譽的人,即便是支付了贖金也未必能夠解鎖,此前蘋果iOS設備被惡意鎖定勒索的事件常有發生,支付錢款得不到解決的案例也非常常見。
正因為Petya勒索病毒的支付渠道不靠譜,所以導致它的破壞能力更強,除了像其他勒索病毒一樣加密鎖定文件之外,還會修改硬盤主引導記錄(MBR)、加密硬盤文件分配表(MFT),導致電腦不能正常啟動。這樣一來對于普通用戶來說有重要文件就很難恢復了,造成的損失巨大。
病毒首先會遍歷所有磁盤,對每個固定磁盤創建一個線程執行文件遍歷,文件遍歷時會判斷文件后綴,針對特殊目錄該病毒編碼跳過了"C:\windows"目錄,不會對該目錄下的任何文件進行加密。拔掉電源可以挽救加密MFT,但并不能挽回之前在桌面環境下已經被加密的用戶文件。
不僅破壞力驚人,而且Petya傳播方式利用“永恒之藍”和“永恒浪漫”兩個漏洞,這就導致了它可以通過內網滲透使用系統的WMIC和Sysinternals的PsExec傳播,所以即便電腦修復“永恒之藍”漏洞,只要內網有中毒電腦,仍有被感染的危險。
業內人士認為Petya的傳播能力和威脅范圍甚至是超過WannaCry病毒的。
不為錢財只為破壞?
一般來說病毒尤其是勒索病毒的目的是索要贖金,一般主要針對一些商業用戶和要害PC或者設備終端。如此大規模的傳播往往偷雞不成還容易讓自己成為眾矢之的,會被更厲害的人物盯上,無論是白帽子還是黑客都會關注到病毒傳播的源頭。
WannaCry勒索病毒本身已經是不太明智的做法了,但安全團隊發現,Petya和以往的勒索病毒有很大不同,甚至和WannaCry勒索病毒也不一樣。病毒作者精心設計制作了傳播、破壞的功能模塊,勒索贖金的模塊卻制作粗糙、漏洞百出,稍有勒索病毒的常識就知道,病毒作者幾乎不太可能拿到贖金。
根據國內火絨安全團隊的說法,病毒作者可能根本沒打算得到贖金。與其說Petya是勒索病毒,不如說它是披著勒索病毒外衣的反社會人格的惡性病毒,就像當年臭名昭著的CIH等惡性病毒一樣,損人不利己,以最大范圍的傳播和攻擊破壞電腦系統為目的。
Petya病毒通常情況下是勒索價值300美金的比特幣贖金,但是卻沒有像常規勒索病毒一樣向受害者提供可靠、便捷的付款鏈接,而是選擇用公開的電子信箱來完成贖金支付,很顯然,這樣做特別粗糙和脆弱。
相比WannaCry病毒Petya利用漏洞使得傳播速度更快,但是對勒索病毒更應該關注的支付贖金流程都是草草處理,這一點很奇怪。尤其是新版本的Petya病毒,在內網傳播功能上花費了心思。因此舊版本Petya更像是一個真正的勒索病毒,它會為不同用戶生成不同的暗網地址以便用戶支付贖金。而新版本Petya弱化了支付贖金流程,只是提供了一個簡單的郵箱和黑客聯系,顯然如果是為了勒索至少不會如此簡化勒索支付的功能。
病毒爆發后,郵件賬戶立刻被供應商Posteo關閉,導致贖金交付的流程中斷。用一種不可靠、簡單的方式敷衍了事,似乎并不關心能否收到贖金。因此目前全球范圍內沒有一例成功支付贖金,進而解鎖了文件和系統的報告。從側面驗證了醉翁之意不在酒的特點。
推薦閱讀
由中國電子商會(CECC)、中國電子技術標準化研究院(CESI)聯合主辦的“大屏視界,高端奢享”2017年(第十三屆)中國數字電視產業發展大會于7月6日在北京圓滿>>>詳細閱讀
本文標題:分析Petya勒索病毒:勒索其次破壞更多
地址:http://www.xglongwei.com/a/05/303763.html
網友點評
精彩導讀
科技快報
品牌展示