TechWeb 7月7日報道 文/卡卡落

今年五月份勒索病毒在全球范圍內(nèi)肆虐，根據(jù)媒體報道，中國也受到很大影響，除教育網(wǎng)、校園網(wǎng)以外，北京、上海、江蘇、天津等多地的出入境、派出所等公安網(wǎng)也疑似遭遇病毒襲擊。這次勒索病毒影響廣泛，造成影響之大引起了全球范圍的關(guān)注。原本事件逐漸平息，但6月27日晚些時候，代號為“Petya”的勒索病毒變種之后繼續(xù)肆虐。

根據(jù)外國媒體報道，俄羅斯石油公司Rosneft、烏克蘭國家儲蓄銀行和政府系統(tǒng)都受到了攻擊，僅俄、烏兩國就有80多家公司被該病毒感染，就連烏克蘭副總理的電腦也不幸中招。全球很多地區(qū)和國家都受到了影響。

利用哪些漏洞傳播 如何破壞？

Petya雖然并不是一個合格的勒索病毒，但是造成的破壞性就更加可怕，要知道如果真的有重要資料，雖然付給不法分子贖金的做法我們非常不提倡，但對于很多用戶來說似乎是解決的方式之一。當(dāng)然了我們最終還是要強調(diào)支付贖金并不是理性的做法，畢竟能夠做病毒勒索錢財?shù)娜艘膊粫�是什么講信譽的人，即便是支付了贖金也未必能夠解鎖，此前蘋果iOS設(shè)備被惡意鎖定勒索的事件常有發(fā)生，支付錢款得不到解決的案例也非常常見。

正因為Petya勒索病毒的支付渠道不靠譜，所以導(dǎo)致它的破壞能力更強，除了像其他勒索病毒一樣加密鎖定文件之外，還會修改硬盤主引導(dǎo)記錄（MBR）、加密硬盤文件分配表（MFT），導(dǎo)致電腦不能正常啟動。這樣一來對于普通用戶來說有重要文件就很難恢復(fù)了，造成的損失巨大。

病毒首先會遍歷所有磁盤，對每個固定磁盤創(chuàng)建一個線程執(zhí)行文件遍歷，文件遍歷時會判斷文件后綴，針對特殊目錄該病毒編碼跳過了"C:\windows"目錄，不會對該目錄下的任何文件進(jìn)行加密。拔掉電源可以挽救加密MFT，但并不能挽回之前在桌面環(huán)境下已經(jīng)被加密的用戶文件。

不僅破壞力驚人，而且Petya傳播方式利用“永恒之藍(lán)”和“永恒浪漫”兩個漏洞，這就導(dǎo)致了它可以通過內(nèi)網(wǎng)滲透使用系統(tǒng)的WMIC和Sysinternals的PsExec傳播，所以即便電腦修復(fù)“永恒之藍(lán)”漏洞，只要內(nèi)網(wǎng)有中毒電腦，仍有被感染的危險。

業(yè)內(nèi)人士認(rèn)為Petya的傳播能力和威脅范圍甚至是超過WannaCry病毒的。

不為錢財只為破壞？

一般來說病毒尤其是勒索病毒的目的是索要贖金，一般主要針對一些商業(yè)用戶和要害PC或者設(shè)備終端。如此大規(guī)模的傳播往往偷雞不成還容易讓自己成為眾矢之的，會被更厲害的人物盯上，無論是白帽子還是黑客都會關(guān)注到病毒傳播的源頭。

WannaCry勒索病毒本身已經(jīng)是不太明智的做法了，但安全團隊發(fā)現(xiàn)，Petya和以往的勒索病毒有很大不同，甚至和WannaCry勒索病毒也不一樣。病毒作者精心設(shè)計制作了傳播、破壞的功能模塊，勒索贖金的模塊卻制作粗糙、漏洞百出，稍有勒索病毒的常識就知道，病毒作者幾乎不太可能拿到贖金。

根據(jù)國內(nèi)火絨安全團隊的說法，病毒作者可能根本沒打算得到贖金。與其說Petya是勒索病毒，不如說它是披著勒索病毒外衣的反社會人格的惡性病毒，就像當(dāng)年臭名昭著的CIH等惡性病毒一樣，損人不利己，以最大范圍的傳播和攻擊破壞電腦系統(tǒng)為目的。

Petya病毒通常情況下是勒索價值300美金的比特幣贖金，但是卻沒有像常規(guī)勒索病毒一樣向受害者提供可靠、便捷的付款鏈接，而是選擇用公開的電子信箱來完成贖金支付，很顯然，這樣做特別粗糙和脆弱。

相比WannaCry病毒Petya利用漏洞使得傳播速度更快，但是對勒索病毒更應(yīng)該關(guān)注的支付贖金流程都是草草處理，這一點很奇怪。尤其是新版本的Petya病毒，在內(nèi)網(wǎng)傳播功能上花費了心思。因此舊版本Petya更像是一個真正的勒索病毒，它會為不同用戶生成不同的暗網(wǎng)地址以便用戶支付贖金。而新版本Petya弱化了支付贖金流程，只是提供了一個簡單的郵箱和黑客聯(lián)系，顯然如果是為了勒索至少不會如此簡化勒索支付的功能。

病毒爆發(fā)后，郵件賬戶立刻被供應(yīng)商Posteo關(guān)閉，導(dǎo)致贖金交付的流程中斷。用一種不可靠、簡單的方式敷衍了事，似乎并不關(guān)心能否收到贖金。因此目前全球范圍內(nèi)沒有一例成功支付贖金，進(jìn)而解鎖了文件和系統(tǒng)的報告。從側(cè)面驗證了醉翁之意不在酒的特點。

　　推薦閱讀

　　2017年中國數(shù)字電視產(chǎn)業(yè)發(fā)展大會 看尚分享專注的力量

由中國電子商會（CECC）、中國電子技術(shù)標(biāo)準(zhǔn)化研究院（CESI）聯(lián)合主辦的“大屏視界，高端奢享”2017年（第十三屆）中國數(shù)字電視產(chǎn)業(yè)發(fā)展大會于7月6日在北京圓滿>>>詳細(xì)閱讀

本文標(biāo)題：分析Petya勒索病毒：勒索其次破壞更多

地址：http://www.sdlzkt.com/a/05/303763.html

 1/2    1  2 下一頁