最近,欧洲和美国的几个组织由于一种称为”Petya“的新型ransomware攻击而被跪下。 “这是一个恶意软件,它已经通过几家大公司,包括Mondelez,食品公司,WPP,广告商,马士基,丹麦物流公司和DLA Piper,一家合法公司。所有这些公司都经历了计算机和数据锁定,并要求支付赎金进入。
这次攻击是令人不安的,因为它是两个月内第二次重大的ransomware攻击,影响了世界各地的公司。您可能还记得,在五月份,英国国民健康服务局(NHS)感染了名为WannaCry的恶意软件。这个计划影响了NHS和全球众多的其他组织。 WannaCry在四月份被黑客所暗影的黑客在线发布时,首次向公众公开泄露与NHS有关的文件。
WannaCry软件也称为WannaCrypt,影响了全球超过150个国家的230,000台电脑。除了NHS,西班牙电话公司Telefonica和德国的国家铁路也遭到袭击。
与WannaCry类似,“Petya”在利用Microsoft Windows的网络中迅速传播。但问题是什么呢?我们也想知道它为什么发生,以及如何停止。
什么是Ransomware?
您必须了解的第一件事是ransomware的定义。基本上,ransomware是任何类型的恶意软件,可阻止您访问计算机或数据。然后,当您尝试访问该计算机或其上的数据时,除非您支付赎金,否则无法获取该计算机。相当讨厌,彻头彻尾的意思!
Ransomware如何工作?
了解ransomware如何工作也很重要。当计算机被ransomware感染时,它会被加密。这意味着您的计算机上的文档将被锁定,并且您无法在不支付赎金的情况下打开它们。为了进一步使事情变得复杂,赎金必须在Bitcoin(而不是现金)支付,可以用于解锁文件的数字密钥。如果您没有备份文件,您有两个选择:您可以支付赎金,通常是几百美元到几千美元,或者您无法访问所有文件。
“Petya”Ransomware如何工作?
“Petya”ransomware的工作方式与大多数赎金一样。它接管了一台电脑,然后在比特币要了300美元。一旦一台计算机被感染,这是一种恶意软件,可以快速传播到网络或组织中。这个特定的软件使用EternalBlue漏洞,它是Microsoft Windows的一部分。虽然微软现在已经发布了一个漏洞补丁,但并不是每个人都安装了这个漏洞。 ransomware还可能通过Windows管理工具进行传播,如果计算机上没有密码,则可以访问这些工具。如果恶意软件不能以某种方式获得,它会自动尝试另一种方式,这就是它们在这些组织中的传播速度如何。根据网络安全专家的说法,“Petya”比WannaCry容易得多。有没有什么办法保护自己从“Petya? “
你可能想知道,如果有任何办法保护自己免受”Petya“的影响。 “大多数主要的防病毒公司声称已经更新了软件,以帮助不仅可以检测到,而且可以防止”Petya“恶意软件感染。例如,赛门铁克软件提供“Petya”的保护,卡巴斯基已经更新了所有软件,帮助客户保护自己免受恶意软件的侵扰。此外,您可以通过保持Windows更新来保护自己。如果你不做任何事情,至少安装Windows发布在3月份的关键修补程序,以防止这个EternalBlue漏洞。这阻止了被感染的主要方式之一,并且还防止将来的攻击。
“Petya”恶意软件爆发的另一个防线也是可用的,它只是最近才发现。恶意软件检查C:驱动器中只有一个名为perfc的只读文件。 DAT。如果恶意软件找到该文件,它不会运行加密。但是,即使您有这个文件,它实际上并不能防止恶意软件感染。即使用户在计算机上没有注意到,它仍然可以将恶意软件传播到网络上的其他计算机。
为什么这个恶意软件叫做“Petya? “
您可能也想知道为什么这个恶意软件被命名为”Petya“。 “实际上,这不是技术上被称为”Petya。 “相反,它似乎与一个被称为”Petya“的旧的ransomware共享很多代码。然而,安全专家在首次爆发后的几个小时内就指出,这两种赎金并不像以前一样。因此,卡巴斯基实验室的研究人员开始将恶意软件称为“NotPetya”(原始版本)以及其他名称,包括“Petna”和“Pneytna”。 “另外,其他研究人员称其他名称包括”金眼“,罗宾尼亚Bitdefender开始打电话给其他名称。但是,“Petya”已经被卡住了。
“Petya”在哪里开始?你是否想知道“Petya”在哪里开始?似乎已经从通过内置于某一会计程序的软件的更新机制开始。这些公司正在与乌克兰政府合作,并要求政府使用这一特定的计划。这就是乌克兰这么多公司受到这个影响的原因。这些组织包括银行,政府,基辅地铁系统,基辅主要机场和国家电力公司。
监测切尔诺贝利辐射水平的系统也受到ransomware的影响,最终被脱机。这迫使员工使用手动手持设备来测量排除区域中的辐射。除此之外,还有第二波恶意软件感染是由一系列包含恶意软件的电子邮件附件的广告系列产生的。
“Petya”感染有多远?
“Petya”ransomware已经广泛传播,并且破坏了美国和欧洲的公司业务。例如,美国的广告公司WPP,法国的建筑材料公司圣戈班,以及俄罗斯石油和钢铁公司的Rosneft和Evraz也受到影响。匹兹堡公司Heritage Valley Health Systems也受到“Petya”恶意软件的打击。这家公司在匹兹堡地区经营医院和护理设施。
然而,与WannaCry不同,“Petya”恶意软件尝试通过其访问的网络快速传播,但不会将自身扩散到网络外部。这个事实本来可能实际上帮助了这个恶意软件的潜在受害者,因为它限制了它的传播。所以,看到有多少新感染似乎有所减少。 “999发送出网络犯罪分子的动机是什么?”Petya? “
当最初发现”Petya“时,似乎恶意软件的爆发只是一个网络犯罪分子利用泄漏的在线网络武器的一种尝试。然而,当安全专业人士更加关注“Petya”恶意软件爆发时,他们说一些机制,例如收费方式,是相当业余的,所以他们不认为严重的网络犯罪分子是背后的。
首先,“Petya”恶意软件附带的赎金记录包括与每个恶意软件受害者完全相同的付款地址。这是奇怪的,因为专业人士为每个受害者创建了一个自定义地址。第二,该计划要求受害者通过一个特定的电子邮件地址与攻击者直接沟通,当发现电子邮件地址被用于“Petya”受害者时,该地址立即被暂停。这意味着即使一个人支付300美元的赎金,他们也不能与攻击者通信,而且他们无法访问解密密钥来解锁计算机或其文件。
那么谁是攻击者?
网络安全专家不认为专业的网络犯罪是在“Petya”恶意软件之后,那么谁是?目前还没有人知道,但是发布它的人很可能希望恶意软件看起来像简单的ransomware,而是比典型的ransomware更具破坏性。安全研究员Nicolas Weaver认为,“Petya”是一种恶意,破坏性和故意的攻击。Grugq的另一位研究人员认为,原来的“Petya”是犯罪组织赚钱的一部分,但是这个“Petya”并没有这样做。他们都同意恶意软件的设计速度很快,造成很大的损失。
正如我们所提到的那样,乌克兰受到“Petya”的打击,国家指责俄罗斯。这并不奇怪,考虑到乌克兰也把俄罗斯以前的一些网络攻击归咎于俄罗斯。其中一次网络攻击发生在2015年,目的在于乌克兰的电网。最终最终结束了暂时离开乌克兰西部部分地区没有任何权力。然而,俄罗斯拒绝参与乌克兰的网络攻击。
如果相信你是Ransomware的受害者,该怎么办?你认为你可能是ransomware攻击的受害者吗?这种特定的攻击感染计算机,并在计算机开始自动重新启动之前等待大约一个小时。如果发生这种情况,请立即尝试关闭计算机。这可能会阻止计算机上的文件被加密。在这一点上,您可以尝试将文件从机器中取出。
如果计算机完成重新启动并且没有出现赎金,请不要付款。记住,用于从受害者收集信息并发送钥匙的电子邮件地址被关闭。因此,请将PC与互联网和网络断开连接,重新格式化硬盘驱动器,然后使用备份重新安装文件。确保您始终定期备份文件,并始终保持您的防病毒软件更新。