這次攻擊令人不安,因為它是兩個月來第二起重大勒索軟件攻擊事件,已經影響到全球各地的公司。 你可能還記得,5月份,英國的國家衛生服務部門NHS被稱為WannaCry的惡意軟件感染了。 該計劃影響了全球的NHS和眾多其他組織。 WannaCry在4月份被黑客稱為影子經紀人時,首次向公眾透露了與NHS有關的洩露文件。
WannaCry軟件(也稱為WannaCrypt)影響了超過230,000台計算機,這些計算機遍布全球150多個國家。 除了NHS,西班牙電話公司Telefonica和德國國有鐵路也遭到襲擊。
與WannaCry類似,“Petya”迅速傳播到利用Microsoft Windows的網絡中。 問題是,它是什麼? 我們也想知道為什麼會發生,以及如何停止。
什麼是Ransomware?
首先你必須了解的是勒索軟件的定義。 基本上,勒索軟件是阻止您訪問計算機或數據的任何類型的惡意軟件。 然後,當您嘗試訪問該計算機或其上的數據時,除非您支付贖金,否則無法進入該計算機。 非常討厭,並且徹頭徹尾的意思!
Ransomware如何工作?
了解勒索軟件的工作原理也很重要。 當一台計算機被勒索軟件感染時,它會被加密。 這意味著您的計算機上的文檔將被鎖定,並且無需支付贖金就無法打開它們。 讓事情更加複雜的是,贖金必須用比特幣支付,而不是現金,用於解鎖文件的數字密鑰。 如果你沒有備份你的文件,你有兩種選擇:你可以支付贖金,通常是幾百美元到幾千美元,或者你無法訪問所有文件。
“Petya”Ransomware如何工作?
“Petya”勒索軟件就像大多數勒索軟件一樣工作。 它接管了一台電腦,然後在比特幣中索要300美元。 這是一種惡意軟件,一旦單台計算機受到感染,該軟件可以迅速在網絡或組織中傳播。 這個特定的軟件使用Microsoft Windows的一部分EternalBlue漏洞。 儘管微軟現在已經發布了該漏洞的補丁,但並非每個人都已經安裝了它。 勒索軟件也可能通過Windows管理工具傳播,如果計算機上沒有密碼,則可以訪問這些工具。 如果惡意軟件無法以某種方式獲得,它會自動嘗試另一種方式,這是它在這些組織中如此迅速地傳播的方式。
因此,根據網絡安全專家的說法,“Petya”比WannaCry更容易傳播。
有什麼方法可以保護你自己“Petya?”
您現在可能想知道是否有任何方法可以保護自己免受“Petya”的侵害。大多數主要的反病毒公司聲稱他們已經更新了他們的軟件,以幫助他們不僅能夠檢測,而且能夠防止“Petya”惡意軟件感染。 例如,賽門鐵克軟件提供對“Petya”的保護,卡巴斯基已更新其所有軟件以幫助客戶保護自己免受惡意軟件的侵害。 最重要的是,您可以通過保持Windows更新來保護自己。 如果你什麼都不做,至少應該安裝Windows在三月發布的關鍵補丁,該補丁抵禦這個EternalBlue漏洞。 這阻止了被感染的主要方式之一,並且還防止未來的攻擊。
“Petya”惡意軟件爆發的另一道防線也是可用的,它最近才被發現。 惡意軟件會檢查C:\驅動器,以獲取名為perfc.dat的只讀文件。 如果惡意軟件發現該文件,則不運行加密。 但是,即使您擁有此文件,它實際上也不會防止惡意軟件感染。 即使用戶沒有在他們的計算機上註意到它,它仍然可以將惡意軟件傳播到網絡上的其他計算機。
為什麼這個惡意軟件被稱為“Petya?”
您可能還想知道為什麼這個惡意軟件被命名為“Petya”。實際上,它在技術上不稱為“Petya”。相反,它似乎與一個名為“Petya”的老式勒索軟件共享了很多代碼。然而,在最初的爆發之後,安全專家指出,這兩個勒索軟件並不像最初想像的那樣相似。 因此,卡巴斯基實驗室的研究人員開始將惡意軟件稱為“NotPetya”(這是原創!)以及包括“Petna”和“Pneytna”在內的其他名稱。此外,其他研究人員稱該程序為其他名稱,包括“Goldeneye”來自羅馬尼亞的Bitdefender開始稱它。 但是,“Petya”已經陷入困境。
“Petya”從哪裡開始?
你想知道“彼佳”在哪裡開始? 它似乎已經從內置於某個會計計劃中的軟件更新機制開始。 這些公司正在與烏克蘭政府合作,並由政府要求使用這一特定計劃。 這就是為什麼這麼多烏克蘭公司受到這種影響的原因。 這些組織包括銀行,政府,基輔地鐵系統,基輔主要機場和國家電力公司。
監控切爾諾貝利輻射水平的系統也受到勒索軟件的影響,並最終脫機。 這迫使員工使用手動手持設備來測量禁區內的輻射。 除此之外,還有第二波惡意軟件感染,這是由一個以電子郵件附件為特色的活動產生的,活動內容充滿了惡意軟件。
“Petya”感染蔓延到什麼程度?
“Petya”勒索軟件廣泛傳播,擾亂了美國和歐洲公司的業務。 例如,美國的廣告公司WPP,法國的建築材料公司Saint-Gobain以及俄羅斯的石油和鋼鐵公司Rosneft和Evraz也受到影響。 Pittsburgh公司Heritage Valley Health Systems也遭到了“Petya”惡意軟件的襲擊。 該公司在匹茲堡地區經營醫院和護理設施。
然而,與WannaCry不同的是,“Petya”惡意軟件試圖通過它所訪問的網絡迅速傳播,但它不會試圖在網絡之外進行傳播。 這個事實本身可能實際上幫助了這種惡意軟件的潛在受害者,因為它限制了它的傳播。 因此,看到有多少新感染病例似乎有所減少。
網絡犯罪分子發出“彼佳”的動機是什麼?
當“Petya”最初被發現時,似乎惡意軟件的爆發僅僅是網絡犯罪分子利用被洩露在線網絡武器的一種嘗試。 但是,當安全專業人員更加關注“Petya”惡意軟件爆發時,他們表示,某些機制(如收集付款的方式)非常業餘,因此他們不認為背後有嚴重的網絡犯罪分子。
首先,“Petya”惡意軟件附帶的贖金說明包括每個惡意軟件受害者的完全相同的付款地址。 這很奇怪,因為專業人士為他們的每個受害者創建了一個自定義地址。 其次,該程序要求其受害者通過特定的電子郵件地址與攻擊者直接溝通,該電子郵件地址在被發現該電子郵件地址用於“Petya”受害者時立即被暫停。 這意味著即使一個人支付了300美元的贖金,他們也不能與攻擊者通信,而且他們也無法訪問解密密鑰來解鎖計算機或其文件。
那麼誰是攻擊者?
網絡安全專家並不認為專業網絡犯罪分子背後的“Petya”惡意軟件,所以誰是? 目前還沒有人知道,但發布它的人很可能會希望惡意軟件看起來像是簡單的勒索軟件,但是它比典型的勒索軟件更具破壞性。 安全研究員尼古拉斯韋弗認為,“彼佳”是一種惡意的破壞性的蓄意攻擊。 另一位由格魯克克走過的研究人員認為,原來的“彼佳”是犯罪組織的一部分,以賺錢,但這個“彼佳”不是這樣做的。 他們都同意惡意軟件的設計很快就會傳播並造成很大的損害。
正如我們所提到的,烏克蘭受到“彼佳”的打擊,國家對俄羅斯表示了強烈的不滿。 考慮到烏克蘭指責俄羅斯也發生了一些以前的網絡攻擊,這並不令人意外。 其中一起網絡攻擊事件發生在2015年,針對烏克蘭電網。 它最終最終暫時離開烏克蘭西部的部分地區而沒有任何權力。 然而,俄羅斯否認參與烏克蘭的網絡攻擊。
如果你相信你是Ransomware的受害者,你應該怎麼做?
你認為你可能是勒索軟件攻擊的受害者嗎? 此特定攻擊會感染計算機,並在計算機開始自動重新啟動之前等待大約一個小時。 如果發生這種情況,請立即嘗試關閉計算機。 這可能會阻止計算機上的文件被加密。 此時,您可以嘗試從機器上取下文件。
如果計算機完成重新啟動並且沒有出現贖金,請不要付款。 請記住,用於收集受害者信息並發送密鑰的電子郵件地址已關閉。 因此,請將PC與互聯網和網絡斷開連接,重新格式化硬盤,然後使用備份重新安裝文件。 確保您總是定期備份您的文件,並始終保持您的防病毒軟件更新。