近日,全球正在遭受新一轮的勒索病毒的攻击,乌克兰、俄罗斯等欧洲多国已大面积感染。
Petya勒索病毒会锁定被袭击的设备并索要赎金。这样的套路和今年5月爆发的Wannacry勒索病毒如出一辙。
被Petya勒索病毒攻击的电脑
当时,WannaCry病毒对全球150多个国家和地区的逾30万部电脑系统发动攻击,并锁定了被攻击电脑中的文件,进而要求受害者支付价值约300美元的比特币才能解锁。 现在,Petya病毒锁住了大量的设备,亦要求用户支付300美元的加密数字货币才能解锁。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款。
但和Wannacry相比,Petya勒索病毒变种的传播速度更快。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷。
据了解,Petya勒索病毒最早出现在2016年初,以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。
多家网络安全机构监测分析发现,该病毒与普通勒索病毒不同,其不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,相较普通勒索病毒对系统更具破坏性。
根据已经掌握的情况看,这次攻击有很强的定向性,所以欧洲感染较多,目前国内感染量还很少,主要集中在与欧洲有联系的机构,但考虑到定向性及以往病毒从境外向境内扩散的规律看,未来国内传播还是存在较高风险。同时,该病毒会获取被攻击主机的登录凭证尝试内网扩散,需要提高警惕,做好应对准备工作。
6月28日,国家互联网应急中心对Petya勒索病毒进行了预警通报,并建议用户近期采取积极的安全防范措施:不要轻易点击不明附件,尤其是rtg、doc等格式文件;内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作;更新操作系统补丁(MS),禁用WMI服务。(赵清建)