從WannaCry到Petya 勒索病毒有哪些變化

6月27日，代號(hào)為“Petya”（“佩蒂婭”）或“GoldenEye”（“黃金眼”）的一種新勒索病毒襲擊了俄羅斯、烏克蘭等多個(gè)國(guó)家。電腦安全專(zhuān)家證實(shí)，這一病毒和5月爆發(fā)的“WannaCry”（“想哭”）勒索病毒相似。

WannaCry導(dǎo)致全球超過(guò)30萬(wàn)臺(tái)電腦被感染。

Petya和WannaCry還有一個(gè)最大的相同之處，就是要求電腦中毒的用戶(hù)通過(guò)支付比特幣的方式獲得解鎖方法，其勒索標(biāo)的為300美元。

在兩個(gè)月內(nèi)接連出現(xiàn)的兩種勒索病毒有什么不同呢？

攻擊目標(biāo)

WannaCry病毒5月席卷150多個(gè)國(guó)家和地區(qū)，其具體攻擊對(duì)象包括中國(guó)高校的電腦，英國(guó)的國(guó)家醫(yī)療服務(wù)系統(tǒng)NHS等。

新一輪的Petya電腦病毒則在俄羅斯、英國(guó)、烏克蘭等在內(nèi)的歐洲多個(gè)國(guó)家和美國(guó)迅速蔓延。有機(jī)場(chǎng)、銀行及大型企業(yè)被報(bào)告感染病毒。目前Petya的影響范圍還不如一個(gè)月前的WannaCry，但最終結(jié)果還有待觀察。

根據(jù)公開(kāi)報(bào)道，目前遭受Petya侵襲的具體目標(biāo)包括：

烏克蘭副總理帕夫洛·羅琴科稱(chēng)，該國(guó)政府部門(mén)的電腦網(wǎng)絡(luò)出現(xiàn)死機(jī)，央行的配電系統(tǒng)等設(shè)施遭到了破壞。

荷蘭船運(yùn)巨頭馬士基集團(tuán)稱(chēng)包括洛杉磯碼頭在內(nèi)的設(shè)施遭到了攻擊。

全球最大的廣告?zhèn)鞑ゼ瘓F(tuán)WPP稱(chēng)受到了這款病毒感染。一位該公司員工透露，他們被要求關(guān)閉電腦，隨后整座公司大樓陷入寂靜。

一家烏克蘭媒體公司稱(chēng)，自己的電腦系統(tǒng)被黑，黑客要求通過(guò)電子加密貨幣比特幣支付300美金才能對(duì)其解鎖。黑客還留下信息說(shuō)：“不要浪費(fèi)時(shí)間去嘗試恢復(fù)文件。只有我們能提供解密服務(wù)。”

俄羅斯央行稱(chēng)，自己的電腦被感染。一家從事消費(fèi)信貸的公司不得不暫停為客戶(hù)服務(wù)。

俄羅斯石油公司稱(chēng)自己的電腦系統(tǒng)被嚴(yán)重影響。

吉百利公司位于澳大利亞的一家巧克力工廠因?yàn)殡娔X感染了病毒27號(hào)當(dāng)日暫時(shí)停產(chǎn)。

其他公開(kāi)聲稱(chēng)自己受到Petya病毒攻擊的公司和機(jī)構(gòu)還有，法國(guó)建筑材料供應(yīng)商圣戈班，美國(guó)制藥公司默克集團(tuán)，一家法國(guó)寵物食品供應(yīng)商，化妝品制造商拜爾斯道夫公司，家用清潔用品公司利潔時(shí)，以及美國(guó)一個(gè)州的醫(yī)療系統(tǒng)。

傳播和應(yīng)對(duì)

目前已知的是，這種新的勒索病毒能夠?qū)е轮匾A(chǔ)設(shè)施關(guān)停，使公司及政府網(wǎng)絡(luò)癱瘓。

Petya病毒通過(guò)加密硬盤(pán)和改寫(xiě)文件的方式攻擊Windows系統(tǒng)，然后要求通過(guò)比特幣支付300美金，才對(duì)其解鎖。

其傳播通過(guò)名為“永恒之藍(lán)”的代碼。和上月爆發(fā)的WannaCry病毒一樣，這是勒索程序的制造者從美國(guó)國(guó)家安全局盜取的工具。

但網(wǎng)絡(luò)安全公司賽門(mén)鐵克的調(diào)查人員埃里克·錢(qián)說(shuō)，這種病毒的影響不如上一次，因?yàn)楹芏郬indows用戶(hù)已經(jīng)升級(jí)了系統(tǒng)并打了補(bǔ)丁。

卡巴斯基的安全專(zhuān)家稱(chēng)，紐約監(jiān)測(cè)到超過(guò)2000起病毒攻擊。他們也認(rèn)為這次攻擊造成的影響將小于WannaCry。

病毒來(lái)源

中國(guó)騰訊反病毒實(shí)驗(yàn)室表示，已經(jīng)確認(rèn)該病毒樣本通過(guò)"永恒之藍(lán)"傳播，即NSA（美國(guó)國(guó)家安全局）泄漏的文件中一個(gè)漏洞代碼名稱(chēng)。

這個(gè)加密流程與2016年起出現(xiàn)的Petya勒索病毒的流程相似，twitter上也有安全人員確認(rèn)了二者的相似關(guān)系。但是不同的是，之前的Petya病毒要求訪問(wèn)暗網(wǎng)地址獲取解密密鑰，而此次爆發(fā)的病毒直接留下了一個(gè)Email郵箱作為聯(lián)系方式。

微軟公司的發(fā)言人稱(chēng)，正在調(diào)查這些網(wǎng)絡(luò)襲擊。

美國(guó)國(guó)土安全部也表示正在對(duì)這次網(wǎng)絡(luò)攻擊開(kāi)展調(diào)查，同時(shí)建議用戶(hù)不要向黑客付錢(qián)，因?yàn)檫@樣做并不能保證電腦解鎖。

美國(guó)國(guó)家安全局目前沒(méi)有公開(kāi)承認(rèn)開(kāi)發(fā)過(guò)“永恒之藍(lán)”。

WannaCry的病毒來(lái)源被認(rèn)為是朝鮮政府，但網(wǎng)絡(luò)專(zhuān)家認(rèn)為新病毒和俄羅斯政府有關(guān)。俄羅斯和朝鮮政府都否認(rèn)指稱(chēng)。

WannaCry病毒爆發(fā)后，22歲的英國(guó)青年哈欽斯（Marcus Hutchins）發(fā)明了一種安全開(kāi)關(guān)（kill switch）成功阻止病毒傳播。網(wǎng)絡(luò)專(zhuān)家認(rèn)為新的勒索病毒可能不存在安全開(kāi)關(guān)，因此也更加難以阻止。

烏克蘭內(nèi)政部專(zhuān)家稱(chēng)，新勒索病毒通過(guò)名為“Phishing”的電子郵件侵入電腦系統(tǒng)，這類(lèi)來(lái)自俄羅斯和烏克蘭的郵件吸引了雇員點(diǎn)開(kāi)，郵件含有遭到病毒感染的Word和PDF格式附件。

（摘自英國(guó)廣播公司新聞網(wǎng)）

（編輯/華生）