Petya勒索软件像WannaCry一样在全球迅速传播

 

 

WannaCry勒索软件尚未死亡，另一次大规模勒索软件攻击正在全世界制造混乱，关闭了俄罗斯、乌克兰、西班牙、法国、英国、印度和欧洲的企业、电源和银行的计算机，并索要300美元的比特币。

据多方消息来源称，Petya勒索软件的一个新变种，也称为Petwrap，在Windows SMBv1漏洞的帮助下正在迅速传播。上个月，WannaCry勒索软件仅在72小时内就利用该漏洞感染了全球30万个系统和服务器。

除此之外，许多受害者还告知Petya勒索软件也感染了他们的补丁系统。

“Petya使用NSA永恒蓝漏洞，但也在WMIC和PSEXEC的内部网络中传播。这就是为什么打补丁的系统会受到攻击。”F-Secure首席研究官Mikko Hyponen证实。

Petya是一个令人讨厌的勒索软件，其工作原理与其他勒索软件恶意软件非常不同。与其他传统勒索软件不同，Petya不会逐个加密目标系统上的文件。

相反，Petya重新启动受害者计算机，加密硬盘驱动器的主文件表（MFT），并使主引导记录（MBR）不可操作，通过获取有关文件名、大小和物理磁盘上位置的信息来限制对整个系统的访问。

Petya勒索软件用自己的恶意代码替换计算机的MBR，该代码显示勒索通知，使计算机无法启动。

不要付赎金，你的文件就拿不回来了

建议受感染的用户不要支付赎金，因为Petya勒索软件背后的黑客无法再获取你的电子邮件。

德国电子邮件提供商Posteo已暂停该电子邮件地址，即。wowsmith123456@posteo.net，这是犯罪分子在获得赎金并发送解密密钥后用来与受害者沟通的工具。

在撰写本文时，已有23名受害者用比特币支付了1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX' address for decrypting their files infected by Petya, which total roughly $6775.

佩蒂娅！佩蒂娅！又一次全球勒索软件攻击

Twitter上分享的最新Petya感染的截图显示，勒索软件显示一条文本，索要价值300美元的比特币。以下是文本内容：

"如果您看到此文本，则无法再访问您的文件，因为它们已加密。也许你正忙着寻找恢复文件的方法，但不要浪费时间。没有我们的解密服务，任何人都无法恢复您的文件。"

根据最近的一次病毒总体扫描，目前，61个反病毒服务中只有16个成功检测到Petya勒索软件恶意软件。

Petya勒索软件攻击银行、电信、企业和电力公司

东乌克兰哈尔科夫超市

Petya勒索软件已经感染了。在过去的几个小时里，俄罗斯国有石油巨头俄罗斯石油公司、乌克兰国有电力供应商、“基维耶内戈”和“乌克兰能源公司”。

"我们被袭击了。两小时前，我们不得不关掉所有的电脑。我们正在等待乌克兰安全局（SBU）的许可，以便重新开启它们，基维内戈的新闻机构说。

乌克兰国家银行（National Bank of Ukraine，NBU）和奥斯查德银行（Oschadbank）等多家银行以及其他公司的报告证实，他们遭到了Petya勒索软件攻击。
国际物流公司马士基（Maersk）也在Twitter上确认，最近的Petya勒索软件攻击已关闭其多个地点和业务部门的IT系统。

该公司表示：“我们可以确认，马士基IT系统在多个地点和业务部门出现故障。我们目前正在确认这种情况。员工、运营和客户业务的安全是我们的首要任务。我们将在获得更多信息后进行更新”。

勒索软件还影响乌克兰分公司采矿公司埃夫拉兹的多个工作站。

乌克兰企业报告的最严重损害还包括乌克兰当地地铁和基辅博里斯皮尔机场的受损系统。

乌克兰的三家电信运营商，Kyivstar、LifeCell和Ukrtelecom，也在最近的Petya袭击中受到影响。

Petya勒索软件怎么传播得这么快？

网络安全公司赛门铁克（Symantec）也证实，Petya勒索软件与WannaCry一样，正在利用SMBv1 EternalBlue漏洞，并利用未打补丁的Windows机器。

"Petya勒索软件成功传播，因为它结合了客户端攻击（CVE-2017-0199）和基于网络的威胁（MS17-010），“安全研究人员使用Twitter手柄‏；HackerFantastic推特。

永恒蓝是臭名昭著的黑客组织Shadow Brokers在其4月份的数据转储中泄露的一个Windows SMB漏洞，该组织声称从美国情报局NSA窃取了该漏洞，以及其他Windows漏洞。

此后，微软修补了所有Windows操作系统版本的漏洞，但许多用户仍然容易受到攻击，一系列恶意软件变种正在利用该漏洞交付勒索软件和地雷加密货币。

就在三天前，我们报道了本田汽车公司以及日本和澳大利亚大约55台测速和红绿灯摄像头遭受的最新恶意袭击。

嗯，令人惊讶的是，即使在相当长的一段时间内了解了WannaCry问题，大公司和公司仍然没有实施适当的安全措施来抵御这种威胁。

如何保护自己免受勒索软件攻击

应该怎么办？去对永恒蓝（MS17-010）应用那些该死的补丁，并在Windows系统和服务器上禁用不安全的、有30年历史的SMBv1文件共享协议。

由于Petya勒索软件还利用WMIC和PSEXEC工具感染经过完全修补的Windows计算机，因此建议您禁用WMIC（Windows Management Instrumentation命令行）。

预防感染；佩蒂娅切断开关

研究人员发现Petya勒索软件在重新启动计算机后对系统进行加密。因此，如果您的系统感染了Petya勒索软件，并且试图重新启动，请不要重新启动。

"如果机器重新启动，您看到此消息，请立即关机！这就是加密过程。如果不打开电源，文件就可以了。“黑客狂热的推特。”使用LiveCD或外部机器恢复文件"

英国网络安全公司PT Security和Cybereason的阿米特·塞珀（Amit Serper）发现了Petya勒索软件的杀戮开关。根据一条推文，该公司建议用户创建一个文件，即C:\Windows\perfc“防止勒索软件感染。

为了防止任何勒索软件感染，您应该始终对通过电子邮件发送的不需要的文件和文档持怀疑态度，除非验证其来源，否则绝不应点击其中的链接。

要始终牢牢掌握有价值的数据，请保留一个良好的备份例程，将它们复制到不总是连接到PC的外部存储设备上。

此外，确保在系统上运行良好有效的防病毒安全套件，并使其保持最新。最重要的是，始终安全地浏览互联网。