新一轮*变种再度袭来 中国已中招
- 来源:安防知识网
- 2017/6/29 15:27:0839387
【中国安防展览网 时事聚焦】感染150多个国家的Wannacry*事件刚刚平息,Petya*变种又开始肆虐,乌克兰、俄罗斯等欧洲多国已大面积感染。据360安全中心监测,目前国内也出现了病毒传播迹象。
与5月爆发的Wannacry相比,Petya*变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。
*变种感染现象,系统被锁死敲诈赎金
360安全工程师郑文彬介绍说,Petya*早出现在2016年初,以前主要利用电子邮件传播。新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染,必须开启360等专业安全软件进行拦截,才能确保电脑不会中毒。
该病毒会加密磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR,病毒会进一步加密文档、视频等磁盘文件。它的勒索金额与此前Wannacry病毒完全一致,均为折合300美元的比特币。根据比特币交易市场的公开数据显示,病毒爆发初一小时就有10笔赎金付款,其“吸金”速度完全超越了Wannacry。
仍利用原先的系统漏洞
目前,卡巴斯基实验室的一位研究人员将此次肆虐的病毒定名为Petrwrap,并确定其属于该公司于今年3月所发现的Petya勒索软件的变种之一。
据天空新闻27日报道,Petrwrap与其它传统勒索软件的功能存在很大区别。具体来讲,Petwrap并不会逐个对目标系统上的文件进行加密。一旦完成感染,该病毒即会利用一条私钥对目标计算机进行加密,且在系统解密之前该设备将无法正常使用。
罗马尼亚网络安全企业比特梵德(Bitdefender)分析师Bogdan Botezatu表示,他已经对一些案例做了分析,认为这次的病毒比较接近代号为“黄金眼”( GoldenEye)的病毒——它是这几个月以来流行的*家族中的一支。
目前,外界对这些感染背后的信息还知之不多。安天实验室的主要创始人兼技术架构师肖新光对澎湃新闻表示,其已经开始对病毒进行技术验证。就目前掌握的情况看,它与5月肆虐的*用的是同一个套路,利用的还是原有的系统漏洞,另外可能加了弱口令。
反病毒公司Avira、赛门铁克等安全公司也在推特上发文称,这款新型勒索软件利用了与WannaCry相同的“永恒之蓝”安全漏洞,意味着其同样能够在被感染系统之间迅速传播。
比特梵德认为,这意味着在一个局域网内,一旦一台电脑遭到感染,那么该网内的其他电脑也难以幸免。
福布斯新闻表示,近来的感染显示Petrwrap出自一个专业的团队之手,不像之前的WannaCry那样,充满了漏洞与隐藏开关。在5月由WannaCry引发的感染风潮中,一位英国的技术人员曾偶然寻找到其隐藏开关,并一度停止了WannaCry病毒的传播。
但问题在于,既然Petrwrap与之前的WannaCry利用的是同一系统漏洞,那么在经过上次事件的提醒后,在微软早已发布系统补丁的情况下,为何仍会出现大面积的感染呢?