分析Petya勒索病毒：勒索其次破坏更多

  TechWeb 7月7日报道 文/卡卡落

今年五月份勒索病毒在全球范围内肆虐，根据媒体报道，中国也受到很大影响，除教育网、校园网以外，北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇病毒袭击。这次勒索病毒影响广泛，造成影响之大引起了全球范围的关注。原本事件逐渐平息，但6月27日晚些时候，代号为“Petya”的勒索病毒变种之后继续肆虐。

根据外国媒体报道，俄罗斯石油公司Rosneft、乌克兰国家储蓄银行和政府系统都受到了攻击，仅俄、乌两国就有80多家公司被该病毒感染，就连乌克兰副总理的电脑也不幸中招。全球很多地区和国家都受到了影响。

利用哪些漏洞传播 如何破坏？

Petya虽然并不是一个合格的勒索病毒，但是造成的破坏性就更加可怕，要知道如果真的有重要资料，虽然付给不法分子赎金的做法我们非常不提倡，但对于很多用户来说似乎是解决的方式之一。当然了我们最终还是要强调支付赎金并不是理性的做法，毕竟能够做病毒勒索钱财的人也不会是什么讲信誉的人，即便是支付了赎金也未必能够解锁，此前苹果iOS设备被恶意锁定勒索的事件常有发生，支付钱款得不到解决的案例也非常常见。

正因为Petya勒索病毒的支付渠道不靠谱，所以导致它的破坏能力更强，除了像其他勒索病毒一样加密锁定文件之外，还会修改硬盘主引导记录（MBR）、加密硬盘文件分配表（MFT），导致电脑不能正常启动。这样一来对于普通用户来说有重要文件就很难恢复了，造成的损失巨大。

病毒首先会遍历所有磁盘，对每个固定磁盘创建一个线程执行文件遍历，文件遍历时会判断文件后缀，针对特殊目录该病毒编码跳过了"C:\windows"目录，不会对该目录下的任何文件进行加密。拔掉电源可以挽救加密MFT，但并不能挽回之前在桌面环境下已经被加密的用户文件。

不仅破坏力惊人，而且Petya传播方式利用“永恒之蓝”和“永恒浪漫”两个漏洞，这就导致了它可以通过内网渗透使用系统的WMIC和Sysinternals的PsExec传播，所以即便电脑修复“永恒之蓝”漏洞，只要内网有中毒电脑，仍有被感染的危险。

业内人士认为Petya的传播能力和威胁范围甚至是超过WannaCry病毒的。

不为钱财只为破坏？

一般来说病毒尤其是勒索病毒的目的是索要赎金，一般主要针对一些商业用户和要害PC或者设备终端。如此大规模的传播往往偷鸡不成还容易让自己成为众矢之的，会被更厉害的人物盯上，无论是白帽子还是黑客都会关注到病毒传播的源头。

WannaCry勒索病毒本身已经是不太明智的做法了，但安全团队发现，Petya和以往的勒索病毒有很大不同，甚至和WannaCry勒索病毒也不一样。病毒作者精心设计制作了传播、破坏的功能模块，勒索赎金的模块却制作粗糙、漏洞百出，稍有勒索病毒的常识就知道，病毒作者几乎不太可能拿到赎金。

根据国内火绒安全团队的说法，病毒作者可能根本没打算得到赎金。与其说Petya是勒索病毒，不如说它是披着勒索病毒外衣的反社会人格的恶性病毒，就像当年臭名昭著的CIH等恶性病毒一样，损人不利己，以最大范围的传播和攻击破坏电脑系统为目的。

Petya病毒通常情况下是勒索价值300美金的比特币赎金，但是却没有像常规勒索病毒一样向受害者提供可靠、便捷的付款链接，而是选择用公开的电子信箱来完成赎金支付，很显然，这样做特别粗糙和脆弱。

相比WannaCry病毒Petya利用漏洞使得传播速度更快，但是对勒索病毒更应该关注的支付赎金流程都是草草处理，这一点很奇怪。尤其是新版本的Petya病毒，在内网传播功能上花费了心思。因此旧版本Petya更像是一个真正的勒索病毒，它会为不同用户生成不同的暗网地址以便用户支付赎金。而新版本Petya弱化了支付赎金流程，只是提供了一个简单的邮箱和黑客联系，显然如果是为了勒索至少不会如此简化勒索支付的功能。

病毒爆发后，邮件账户立刻被供应商Posteo关闭，导致赎金交付的流程中断。用一种不可靠、简单的方式敷衍了事，似乎并不关心能否收到赎金。因此目前全球范围内没有一例成功支付赎金，进而解锁了文件和系统的报告。从侧面验证了醉翁之意不在酒的特点。

推荐阅读

　　 骑ofo小黄车顺带赢实惠 集齐5种小黄人卡获77.77元现金红包.

骑ofo小黄车顺带赢实惠 集齐5种小黄人卡获77.77元现金红包.>>> 详细阅读

本文标题： 分析Petya勒索病毒：勒索其次破坏更多

地址：http://www.lgo100.com/a/05/303763.html

  1 / 2     1   2   下一页