Petya勒索软件网络攻击: 不是WannaCry，相同的锁定和需求策略

新一波网络攻击袭击了计算机和企业服务器。在大规模的WannaCry攻击影响了全球超过300,000台计算机之后，新的勒索软件是petya，它主要袭击了乌克兰和俄罗斯，在欧洲其他地方传播，并打击了美国的一些大公司，此外还关闭了孟买的Jawaharlal Nehru港口信托基金。

petya和WannaCry一样吗？

petya勒索软件已经出现在2016年，到目前为止，研究人员认为它与WannaCry不同。但是，最新的攻击以及WannaCry的攻击利用了Windows系统中的相同漏洞，即EternalBlue。勒索软件本质上将用户锁定在他或她的计算机之外，并要求支付一定金额。赎金通常是在用户解密被劫持的数据之前以比特币要求的。专家说，petya锁定了Windows中的 “主引导记录”，用微软的话来说，这是 “磁盘上最重要的数据结构”-它包含磁盘分区上的所有信息以及允许操作系统加载/引导到pC内存上的代码。

根据安全研究公司Kasperksy的说法，最新的勒索软件可能是petya.a，petya.D或petrWrap的变体，尽管规模不大。该公司不认为这是WannaCry的变体。

那么，最近的攻击是在做什么？

petya是更高级的勒索软件，研究人员确信它没有杀死开关。像WannaCry一样，它锁定了计算机的文件，并要求300美元的比特币作为赎金。计算机上的所有数据都被加密，研究人员说没有办法对其进行解密。一旦它感染了计算机，它将等待一个小时左右，然后重新启动系统。之后，文件被加密，用户会看到赎金记录。还警告用户在重新启动期间不要关闭。“如果您看到此文本，则您的文件将不再可访问，因为它们已加密。也许您正忙于寻找恢复文件的方法，但不要浪费时间。没有我们的解密服务，任何人都无法恢复您的文件。”

根据卡巴斯基的说法，黑客使用了 “标准的，可靠的加密方案”，除非他们犯了一个错误，否则无法取回文件。安全公司称这是一种相当 “复杂的攻击”，迅速蔓延到网络。要求受害者将赎金发送到一个地址，然后通过电子邮件将其比特币钱包id发送给[email protected]。这是为了确认交易已经完成。

什么是EternalBlue漏洞，微软有修复程序吗？

EternalBlue是Windows 10、8、7甚至Xp中都存在的漏洞。EternalBlue是由美国国家安全局 (NSA) 与其他黑客工具一起开发的。但这与该公司的其他一些人一起在网上泄露。微软在2017年3月发布了补丁。但是，人们并不总是升级他们的pc或安装安全更新。在那些即使在WannaCry攻击之后也可能没有升级Windows上运行的pc的企业中，问题变得更加严重。

勒索软件攻击是如何开始的？

据信，该攻击是针对乌克兰许多政府组织使用的名为MeDoc的第三方乌克兰软件的更新而开始的。乌克兰受影响最严重: 卡巴斯基的初步调查结果表明，60% 以上的袭击发生在乌克兰，30% 发生在俄罗斯。在乌克兰，影响范围很广: 从政府办公室到电信公司，超市，银行，甚至切尔诺贝利发电厂。

对于解密文件，目前没有解决方案。卡巴斯基的研究人员说: “勒索软件使用标准的，可靠的加密方案”。该公司指出，除非黑客犯错，否则无法访问数据。跨国公司，例如DLA piper律师事务所，航运巨头Ap Moller-Maersk，制药商默克以及拥有吉百利奥利奥的Mondelez International，受到了影响。在美国，一些医院受到了影响。波兰，意大利和德国是petya产生影响的其他国家。在印度，自从Ap Moller-Maersk在JNpT运营印度门户码头以来，港口信托受到打击。这具有180万多个标准容器单元的容量。

那么现在会发生什么呢？

第一步，服务提供商已暂停了黑客使用的电子邮件地址。posteo在一篇博客文章中写道: “我们意识到勒索软件勒索者目前正在使用posteo地址作为联系方式。我们的反滥用小组立即对此进行了检查-并立即阻止了该帐户。”posteo说，攻击者不再可能访问该电子邮件。对于丢失数据的用户，这意味着无法从黑客那里获取解密密钥，因为电子邮件帐户已被关闭。

但是，根据HackerFantastic的一条推文，当系统自行重新启动时，用户应关闭计算机电源而不是打开计算机电源。这是因为在重新启动期间，文件正在加密，并且如果在此期间关闭了计算机，则文件仍然是安全的，尽管仍然无法访问。研究人员警告不要向黑客付款，称不确定他们是否会取回数据。