这次攻击令人不安,因为它是两个月来第二起重大勒索软件攻击事件,已经影响到全球各地的公司。 你可能还记得,5月份,英国的国家卫生服务部门NHS被称为WannaCry的恶意软件感染了。 该计划影响了全球的NHS和众多其他组织。 WannaCry在4月份被黑客称为影子经纪人时,首次向公众透露了与NHS有关的泄露文件。
WannaCry软件(也称为WannaCrypt)影响了超过230,000台计算机,这些计算机遍布全球150多个国家。 除了NHS,西班牙电话公司Telefonica和德国国有铁路也遭到袭击。
与WannaCry类似,“Petya”迅速传播到利用Microsoft Windows的网络中。 问题是,它是什么? 我们也想知道为什么会发生,以及如何停止。
什么是Ransomware?
首先你必须了解的是勒索软件的定义。 基本上,勒索软件是阻止您访问计算机或数据的任何类型的恶意软件。 然后,当您尝试访问该计算机或其上的数据时,除非您支付赎金,否则无法进入该计算机。 非常讨厌,并且彻头彻尾的意思!
Ransomware如何工作?
了解勒索软件的工作原理也很重要。 当一台计算机被勒索软件感染时,它会被加密。 这意味着您的计算机上的文档将被锁定,并且无需支付赎金就无法打开它们。 让事情更加复杂的是,赎金必须用比特币支付,而不是现金,用于解锁文件的数字密钥。 如果你没有备份你的文件,你有两种选择:你可以支付赎金,通常是几百美元到几千美元,或者你无法访问所有文件。
“Petya”Ransomware如何工作?
“Petya”勒索软件就像大多数勒索软件一样工作。 它接管了一台电脑,然后在比特币中索要300美元。 这是一种恶意软件,一旦单台计算机受到感染,该软件可以迅速在网络或组织中传播。 这个特定的软件使用Microsoft Windows的一部分EternalBlue漏洞。 尽管微软现在已经发布了该漏洞的补丁,但并非每个人都已经安装了它。 勒索软件也可能通过Windows管理工具传播,如果计算机上没有密码,则可以访问这些工具。 如果恶意软件无法以某种方式获得,它会自动尝试另一种方式,这是它在这些组织中如此迅速地传播的方式。
因此,根据网络安全专家的说法,“Petya”比WannaCry更容易传播。
有什么方法可以保护你自己“Petya?”
您现在可能想知道是否有任何方法可以保护自己免受“Petya”的侵害。大多数主要的反病毒公司声称他们已经更新了他们的软件,以帮助他们不仅能够检测,而且能够防止“Petya”恶意软件感染。 例如,赛门铁克软件提供对“Petya”的保护,卡巴斯基已更新其所有软件以帮助客户保护自己免受恶意软件的侵害。 最重要的是,您可以通过保持Windows更新来保护自己。 如果你什么都不做,至少应该安装Windows在三月发布的关键补丁,该补丁抵御这个EternalBlue漏洞。 这阻止了被感染的主要方式之一,并且还防止未来的攻击。
“Petya”恶意软件爆发的另一道防线也是可用的,它最近才被发现。 恶意软件会检查C:\驱动器,以获取名为perfc.dat的只读文件。 如果恶意软件发现该文件,则不运行加密。 但是,即使您拥有此文件,它实际上也不会防止恶意软件感染。 即使用户没有在他们的计算机上注意到它,它仍然可以将恶意软件传播到网络上的其他计算机。
为什么这个恶意软件被称为“Petya?”
您可能还想知道为什么这个恶意软件被命名为“Petya”。实际上,它在技术上不称为“Petya”。相反,它似乎与一个名为“Petya”的老式勒索软件共享了很多代码。然而,在最初的爆发之后,安全专家指出,这两个勒索软件并不像最初想象的那样相似。 因此,卡巴斯基实验室的研究人员开始将恶意软件称为“NotPetya”(这是原创!)以及包括“Petna”和“Pneytna”在内的其他名称。此外,其他研究人员称该程序为其他名称,包括“Goldeneye”来自罗马尼亚的Bitdefender开始称它。 但是,“Petya”已经陷入困境。
“Petya”从哪里开始?
你想知道“彼佳”在哪里开始? 它似乎已经从内置于某个会计计划中的软件更新机制开始。 这些公司正在与乌克兰政府合作,并由政府要求使用这一特定计划。 这就是为什么这么多乌克兰公司受到这种影响的原因。 这些组织包括银行,政府,基辅地铁系统,基辅主要机场和国家电力公司。
监控切尔诺贝利辐射水平的系统也受到勒索软件的影响,并最终脱机。 这迫使员工使用手动手持设备来测量禁区内的辐射。 除此之外,还有第二波恶意软件感染,这是由一个以电子邮件附件为特色的活动产生的,活动内容充满了恶意软件。
“Petya”感染蔓延到什么程度?
“Petya”勒索软件广泛传播,扰乱了美国和欧洲公司的业务。 例如,美国的广告公司WPP,法国的建筑材料公司Saint-Gobain以及俄罗斯的石油和钢铁公司Rosneft和Evraz也受到影响。 Pittsburgh公司Heritage Valley Health Systems也遭到了“Petya”恶意软件的袭击。 该公司在匹兹堡地区经营医院和护理设施。
然而,与WannaCry不同的是,“Petya”恶意软件试图通过它所访问的网络迅速传播,但它不会试图在网络之外进行传播。 这个事实本身可能实际上帮助了这种恶意软件的潜在受害者,因为它限制了它的传播。 因此,看到有多少新感染病例似乎有所减少。
网络犯罪分子发出“彼佳”的动机是什么?
当“Petya”最初被发现时,似乎恶意软件的爆发仅仅是网络犯罪分子利用被泄露在线网络武器的一种尝试。 但是,当安全专业人员更加关注“Petya”恶意软件爆发时,他们表示,某些机制(如收集付款的方式)非常业余,因此他们不认为背后有严重的网络犯罪分子。
首先,“Petya”恶意软件附带的赎金说明包括每个恶意软件受害者的完全相同的付款地址。 这很奇怪,因为专业人士为他们的每个受害者创建了一个自定义地址。 其次,该程序要求其受害者通过特定的电子邮件地址与攻击者直接沟通,该电子邮件地址在被发现该电子邮件地址用于“Petya”受害者时立即被暂停。 这意味着即使一个人支付了300美元的赎金,他们也不能与攻击者通信,而且他们也无法访问解密密钥来解锁计算机或其文件。
那么谁是攻击者?
网络安全专家并不认为专业网络犯罪分子背后的“Petya”恶意软件,所以谁是? 目前还没有人知道,但发布它的人很可能会希望恶意软件看起来像是简单的勒索软件,但是它比典型的勒索软件更具破坏性。 安全研究员尼古拉斯韦弗认为,“彼佳”是一种恶意的破坏性的蓄意攻击。 另一位由格鲁克克走过的研究人员认为,原来的“彼佳”是犯罪组织的一部分,以赚钱,但这个“彼佳”不是这样做的。 他们都同意恶意软件的设计很快就会传播并造成很大的损害。
正如我们所提到的,乌克兰受到“彼佳”的打击,国家对俄罗斯表示了强烈的不满。 考虑到乌克兰指责俄罗斯也发生了一些以前的网络攻击,这并不令人意外。 其中一起网络攻击事件发生在2015年,针对乌克兰电网。 它最终最终暂时离开乌克兰西部的部分地区而没有任何权力。 然而,俄罗斯否认参与乌克兰的网络攻击。
如果你相信你是Ransomware的受害者,你应该怎么做?
你认为你可能是勒索软件攻击的受害者吗? 此特定攻击会感染计算机,并在计算机开始自动重新启动之前等待大约一个小时。 如果发生这种情况,请立即尝试关闭计算机。 这可能会阻止计算机上的文件被加密。 此时,您可以尝试从机器上取下文件。
如果计算机完成重新启动并且没有出现赎金,请不要付款。 请记住,用于收集受害者信息并发送密钥的电子邮件地址已关闭。 因此,请将PC与互联网和网络断开连接,重新格式化硬盘,然后使用备份重新安装文件。 确保您总是定期备份您的文件,并始终保持您的防病毒软件更新。