继Wannacry之后，最新网络勒索攻击Petya攻陷欧美大型机构企业

2024-11-25 209

前阵子沸沸扬扬让许多任电脑停摆的 Wannacry 才稍有停歇，新的勒索威胁 Petya 又接力肆虐，目前已经有欧美多国大型企业与机构深受其害，甚至连切尔诺贝利核电厂也遭受攻击感染，现在就来认识一下这个刚崛起就破坏力不小的坏东西，到底它是怎么运作。

Petya 专攻企业与机构局域网络，目前联系信箱被停用

台湾民众可能鲜少知道的新型勒索攻击 Petya 其实早在去年 3 月间就已存在，但几周前全新变种版本开始在欧美肆虐，程式码中新撑了一个类似于恶名昭彰的 Wannacry 中的传播机制，是过去两个月来仅次于 Wannacry 的第二大全球 ransomware 网络攻击，包含广告商WPP、食品公司 Mondelez、法律顾问公司 DLA Piper 美国办事处、丹麦运输公司 AP Moller-Maersk 、制药公司 Merck 与在匹兹堡营运医院和护理设施的Heritage Vally Healthy System 都深受其害，而重灾区乌克兰更是包含政府机关、银行、基辅机场和地铁系统，甚至切尔诺贝利核电厂的辐射监测系统等几乎全国 60% 以上的电脑都遭受威胁。

▲ 乌克兰政府发推特安定民心（图片来源）

虽然 Petya 在国外一开始被称为 Wannacry v2 或 v3，虽然同样利用 Eternal Blue 的漏洞，但实质上与前阵子嚣张肆虐的 Wannacry 有很大的不同，除了使用 Eternal Blue，Petya 还会用Mimikatz 窃取本地凭证，然后使用它们尝试通过 Windows Management Instrumentation 命令登录网络上的其他电脑，并部署勒索软件。

Petya 的感染方式与 Wannacry 的雪球效应是攻击不太一样，根据 Talos Instelligence 的研究一开始它以于乌克兰相当流行的会计系统“MeDoc”为驻扎地，透过部署传播至可能数以百万计的电脑之中，然后借由自动更新功能将恶意彖已下载到所有使用该软件的电脑上。整体特征上 Wannacry 是透过少量电脑迅速传播，而 Petya 是利用大量电脑并透过内部网络进行扩散。由于之前 Wannacry 爆发时许多人已经采用最新的 Windows 补丁予以围堵，但 Petya 却引入更多的扩散机制来通过，主要还是以企业与集团为首要攻击标地。
※初始感染流程示意图

当你的电脑遭受感染时可以看到下面的要求赎金画面，要求受害者汇入相当于 300 美元（约合新台币 9,173 元）的比特币到攻击者提供的固定式账户，付款后可透过一个电子邮件与攻击者通信以换取解锁码，但目前该信箱已被电子邮件服务商停用，这表示即使有人支付赎金也无法与攻击者通信要求解锁，所以目前全球安全研究室的意见倾向于不要支付赎金。

想要避免 Petya 造成的后果，首先请养成定期备份电脑资料的习惯。由于它的加密机制将会在你电脑重开机后启动，而Petya 的设计是在一小时后将你的电脑重新开机并利用这一小时扫描你的局域网络，如果不慎中了 Petya 请即刻关闭你的电脑并断开网络连接以避免进一步的加密行为（倘若只有 MFT 主文件表而不是实际文件被加密，还是有机会可以恢复），然后从备份中重新安装文件，这应该是目前最保险起见的方法了。

图片来源