Petya新型勒索病毒威力巨大
,多家國際組織和機構,以及大型企業已經中招,目前還在迅速蔓延。它不僅可以利用黑客攻擊系統的漏洞入侵,還可在共享網絡間滲透。下面來看看英國《衛報》資深科技新聞記者Olivia Solon對這一新型病毒概念,原理的科普,最後他還針對電腦被感染後如何防止重要文件丟失提出了一些建議。原文標題:'Petya' ransomware attack: what is it and how can it be stopped?
近兩個月來,多家企業反映遭到勒索病毒Petya攻擊。這已經是兩個月以來第二起大型全球勒索病毒攻擊事件,早在五月份,英國的國家衛生署(NHS)就曾被勒索軟體WannaCry攻擊,期間它還利用了四月份黑客組織Shadow Brokers公開泄露美國國家安全局絕密文件的漏洞。
此前,WannaCry和WannaCrypt對150多個地區超過23萬台計算機發起過電腦病毒攻擊,英國NHS,西班牙電信公司Telefónica和德國國家鐵路網都是受波及的重災區。
WannaCry和Petya這類病毒在微軟Windows用戶網絡中迅速蔓延。那它的真面目到底是什麼?為什麼會出現這種情況?我們又該怎麼來阻止情況惡化呢?
勒索病毒概念及原理
勒索病毒是一種阻止用戶正常使用計算機或訪問資料庫的惡意軟體,要想恢復正常,必須付一定的「贖金」。
計算機感染病毒之後,勒索病毒會將裡面的重要文件加密封鎖,要求用戶支付一筆「贖金」,例如比特幣,從而獲得一把虛擬鑰匙解鎖。如果受害者近期沒有文件備份,就只能選擇支付贖金或者丟失文件。
Petya攻擊計算機後會要求受害者以比特幣的形式支付300美元贖金。黑客利用微軟Windows中的「永恆之藍(EternalBlue)」安全漏洞發起攻擊,一旦某台計算機被感染,整個企業或組織都將通過Windows系統管理工具被迅速波及(微軟已經針對這一問題發布了補丁,但不是所有用戶都安裝了)。而且,當它發現一個不行時就會轉向攻擊另一個。網絡安全公司Proofpoint的Ryan Kalember表示,「Petya的蔓延機制比WannaCry更厲害」。
攻擊源頭
烏克蘭網警表示,此次攻擊的源頭似乎是與烏克蘭政府合作所需的記帳程序里的軟體更新機制。這也可以解釋為何很多烏克蘭企業受到入侵,其中甚至包括政府,銀行,國家電網,基輔機場和地鐵。車諾比的輻射監測系統也陷入癱瘓,迫使工作人員不得不用手持計數器測量前核電站隔離區的輻射量。
蔓延範圍
Petya還造成了歐洲和美國幾家大型企業系統癱瘓,其中包括廣告公司WPP,法國建材公司Saint-Gobain和俄羅斯鋼鐵、石油企業Evraz和Rosneft。還有食品公司Mondelez,歐華律師事務所和丹麥航運巨頭AP Moller-Maersk,就連運營著匹茲堡醫院和醫療系統的Heritage Valley健康系統也反映曾遭到惡意軟體攻擊。
投機性網絡犯罪?
起初Petya似乎看上去也只是一種持著網絡武器的網際網路犯罪。不過,安全專家表示,病毒入侵附帶的贖金支付機制十分老練,不法分子想必不是頭一回幹這種事了。首先,所有受害人的贖金提示里都是同一個比特幣支付帳戶——但是大多數勒索軟體都會給每個受害人創建一個自定義地址。其次,Petya會要求受害人通過郵件進行交流,後來被供應商發現之後就被封停了。也就是說,即使有人願意支付贖金,他們也沒法與黑客交談並要求其解鎖文件了。
誰在背後發動病毒入侵?
目前還不清楚,不過似乎是有人想將惡意軟體偽裝成勒索軟體,實際上就是為了搞破壞,尤其是針對烏克蘭政府。安全研究員Nicholas Weaver認為Petya是一個「故意且惡意的破壞性網絡病毒襲擊,或者是對變種勒索軟體的測試」
烏克蘭將之前的網絡攻擊矛頭指向了俄羅斯,包括2015年底烏克蘭西部部分地區暫時性斷電事件。不過,俄羅斯否認曾對烏克蘭實施過網絡攻擊。
電腦被感染了怎麼辦?
@HackerFantastic在推特上發文提示,被病毒感染後需等待一小時再重啟系統。關閉計算機是為了防止文件被加密,可以過段時間再試著恢復文件。
如果計算機重啟後看到勒索信息,立即關機!因為這時正處於文件加密時期,不開機的話文件絕不會丟失。
收到勒索信息後,絕對不要支付贖金,黑客的「客服」郵件地址已被封停,付了贖金也無法收到鑰匙解鎖文件。被感染後不要聯網,將硬碟驅動器格式化,重裝備份文件。養成重要文件經常備份的習慣,每隔一段時間更新病毒攔截軟體。
轉載請註明來源:今天頭條
