Petya
别名 | GoldenEye NotPetya |
---|---|
分类 | 特洛伊木马 |
感染系统 | 勒索软件 |
子类型 | 密码病毒 |
感染系统 | Windows |
Petya是一种在2016年被首次发现的勒索软件[2]。2017年6月,Petya的一个新变种“NotPetya”被用于发动一次全球性的网络攻击。[3][4][5][6][7][8]
此次攻击类似在2017年5月爆发的WannaCry勒索攻击,两者都利用同一个已修复的Windows安全漏洞——EternalBlue(永恒之蓝)。[9]乌克兰可能是此次事件中遭受最严重影响的国家。[3]有观点认为此次网络攻击是对乌克兰的一次政治目的的攻击[10],论据是6月28日为乌克兰人的公众假期宪法日。[10]
背景
[编辑]Petya于2016年3月发现[11];Check Point指出,相较于CryptoWall等2016年初活跃的其他蠕虫病毒,感染数目要少,且运行过程中有值得注意的差别,导致Petya“进入蠕虫病毒进化下一步时立即衰弱”[1]。2016年5月发现的另一个Petya变体附带辅助的有效负载,若恶意软件无法实现管理员层级的访问时便会生效[11]。
名字Petya、Mischa和Goldeneye源于1995年詹姆斯·邦德电影《黄金眼》。影片中,Petya和Mischa是武器卫星,每颗卫星都携带在低地球轨道引爆产生电磁脉冲的原子弹“黄金眼”。德国报纸《海因茨海斯》注意到疑似恶意软件作者的Twitter账户,用了《黄金眼》中由英国演员艾伦·卡明扮演的大反派、俄罗斯黑客鲍里斯·基里申科(Boris Grishenko)的图片作头像[12] 。
2017年6月27日,全球大规模爆发了利用Petya新变种的网络攻击,最先表示受到攻击的是乌克兰公司[3]。当天,卡巴斯基实验室报道称法国、德国、意大利、波兰、英国和美国都出现感染,但大部分感染都针对俄罗斯和乌克兰,当中乌克兰超过80家公司最先遭受攻击,包括乌克兰国家银行[3][13]。ESET估计,80%的感染都出现在乌克兰,位列第二的德国只有9%的感染[14]。俄罗斯总统弗拉基米尔·普京新闻秘书德米特里·佩什科夫表示俄罗斯受到的破坏并不严重[14]。专家认为,由于事发时机选在乌克兰宪法日假期前夕,所以属于针对乌克兰的有政治动机的袭击[15][16]。
卡巴斯基把这一变种称为“NotPetya”,和早期的变种相比,NotPetya运作时差别极大。McAfee工程师克里斯蒂安·贝克(Christiaan Beek)声称该变体被设计得传播特别快,目标“完全是能源公司、电力网、汽车站、加油站、机场和银行”等基础设施[3][17]。
芬氏安全分析师米科·赫佩根认为,“似乎事实上”被感染的乌克兰纳税申办程序“M.E.Doc”的补丁在该国开展业务的公司之间传播恶意软件[14][18][19]。ESET分析发现,更新系统存在的后门在袭击前至少存在六个星期,称袭击是“深思熟虑且干净利落的行动”[20]。程序开发商否认他们要对袭击负全责,表示他们也是受害者[18][21][22][23]。
2017年7月4日,乌克兰网络犯罪部门查缴了“M.E. Doc”公司的服务器,据认为,他们侦测到的“新活动”会引起恶意软件“不受控制的扩散”。警方建议软件用户停止使用,假定它依然存在后门[20][24]。分析缴获服务器,发现自2013年软件没有更新过,有“俄罗斯插手的证据”,服务器上的员工账户已经被攻陷。部门负责人警告称,M.E.Doc维护服务器安全时疏忽大意,要附上刑事责任[25][23][20]。
运作
[编辑]Petya利用有效负载感染计算机的主引导记录(MBR),覆盖Windows引导程序,随后触发重启。下次重启,有效负载执行,加密NTFS文件系统的主文件表,显示要求支付比特币赎金的勒索信息[26][11][27]。在此过程中会输出据信是Windows文件系统扫描器chkdsk的文本,显示在屏幕上,暗示正在修复硬盘驱动器扇区[1]。原本的有效负载需要用户授予其管理权限,但Petya的一个变体捆绑了另一个有效负载Mischa,如果Petya无法安装,Mischa就会运行。Mischa是更加传统的勒索软件有效负载,用途是加密用户文档和可执行文件,并不需要管理权限来执行[11]。Petya的初级版本会将它的有效负载伪装成PDF文件,附在电邮中[11]。
2017年攻击中使用的“NotPetya”变体使用了“永恒之蓝”漏洞占据Windows服务器消息块协议的安全隐患。普遍认为,永恒之蓝由美国国家安全局开发[27],于2017年4月的WannaCry攻击事件中被公之于众[28][27]。该恶意软件采用多项技术传播给同一网络下的其他计算机,其中包括收集密码,配合PSExec在其他本地计算机上运行代码[29][30][31]。另外,尽管仍然是勒索软件,但是加密程序被修改,恶意软件所做的变更无法从技术层面上恢复[32]。WannaCry的解锁费用相对较低,为300美元,使用单一固定的比特币钱包收集赎金,而不是对每个特定的感染产生唯一的ID进行追踪[33]。连同其他不寻常的迹象,相比之下,研究人员推测,这番攻击并不是一场创造利润的风投活动,而是为了迅速损坏设备,岔开WannaCry声称为勒索软件而获得的媒体关注度[34][35]。
减弱
[编辑]受感染的计算机在出现虚假的chkdsk屏幕时立即关闭,很有可能会中断感染过程。安全分析师推测,在Windows安装目录中创建名为“perfc”或(含)“perfc.dat”的只读文件可以阻止目前的有效载荷执行[36][37][38][39]。勒索屏幕上出现的电邮地址因违反使用条款,被提供商Posteo封号。结果受感染的用户实际上无法向犯罪者发送所需的支付确认信[33]。
微软在2017年3月已经向受支持的Windows版本发布补丁解决永恒之蓝漏洞。随后又在2017年5月向Windows XP等不受支持的Windows版本发布补丁[40][41]。《连线》杂志认为“尽管Petya迄今为止造成的损害程度非常的大,但似乎很多推迟推出补丁程序,尽管类似的勒索程序传播有着明显且潜在的破坏性威胁[42]。”有些企业认为,基于可能的停机时间或兼容性问题在某些系统上安装更新也具有破坏性,这在某些情形下可能是有问题的[40]。
2017年7月5日,因为NotPetya肆虐,Petya作者在mega.nz发布了密钥,引用1995年詹姆斯·邦德电影《黄金眼》的‘They're right in front of you and can open very large doors(他们就在你的前面,你可以用来打开任何的门)’。
影响
[编辑]乌克兰、俄罗斯、波兰、意大利、德国、法国、英国、美国等许多国家在此次事件中遭受到攻击。[3]乌克兰和俄罗斯受到的影响最大,两国有超过80家公司遭到攻击。[13]
切尔诺贝利核电站的辐射监测系统在遭到攻击后离线。[43]乌克兰的多个部门、银行、地铁系统和多家国有企业也受到影响,其中包括:鲍里斯波尔国际机场、乌克兰电信、乌克兰邮政、乌克兰国家储蓄银行、乌克兰铁路。[44]
其他受影响的公司包括:英国广告公司WPP集团[45]、Maersk Line[46],美国制药公司默克药厂,俄罗斯石油公司俄罗斯石油,跨国律师事务所DLA Piper[45],西班牙食品公司亿滋国际,法国建筑公司圣戈班,以及美国的医院运营商Heritage Valley Health System等。[3][47]
反应
[编辑]欧洲刑警组织称已意识到并且紧急响应欧盟成员国遭到网络攻击的报告。[13]美国国土安全部已介入并协调其国际和地区合作方[46]。民主党国会议员刘云平致函国家安全局[48],让该机构更为积极地和科技公司合作查找软件漏洞,帮助他们预防未来由国安局制造的恶意软件引发的袭击[31][49]。
命名争议
[编辑]卡巴斯基实验室2017年6月27日的声明认为此次攻击中使用的恶意程序并非“Petya”病毒变种,而是一种新型勒索病毒,他们将其命名为NotPetya。[50]但安全软件开发商Bitdefender与火绒安全在其公告中认为此次捕获勒索病毒仍属于“Petya”病毒变种。
参见
[编辑]参考资料
[编辑]- ^ 1.0 1.1 1.2 Decrypting the Petya Ransomware. Check Point Blog. 2016-04-11 [2017-06-27]. (原始内容存档于2017-06-30).
- ^ 中了加密勒贖軟體Petya別緊張,專家釋出破解方法. ithome.com.tw. 2016-04-12 [2017-06-27]. (原始内容存档于2017-07-01).
- ^ 3.0 3.1 3.2 3.3 3.4 3.5 3.6 Global ransomware attack causes chaos. BBC News. 2017-06-27 [2017-06-27]. (原始内容存档于2017-06-27).
- ^ 新型勒索病毒 Petya 在歐洲爆發並迅速蔓延!這次鎖定的目標是銀行、機場和公家機關電腦. T客邦德. PC home电脑家庭. 2017-06-27 [2017-06-27]. (原始内容存档于2017-06-28).
- ^ 勒索病毒再攻击欧洲多国 乌克兰:规模前所未见. 中新社. 中国新闻网. 2017-06-27 [2017-06-27]. (原始内容存档于2017-06-28).
- ^ 勒索病毒席捲歐洲 烏克蘭銀行癱瘓. 苹果日报. 2017-06-28 [2017-06-28]. (原始内容存档于2017-07-07).
- ^ WannCry惨剧重演 勒索病毒横扫欧美 比特币遭殃. 华尔街见闻. [2017-06-27]. (原始内容存档于2017-07-08).
- ^ 快科技. 微软揭秘Petya勒索病毒背后真相:只感染了2万台电脑. 凤凰资讯. [2017-07-01]. (原始内容存档于2019-02-17).
- ^ Petya ransomware outbreak: Here’s what you need to know. Symantec Security Response. 2017-06-27 [2017-06-27]. (原始内容存档于2017-06-29).
- ^ 10.0 10.1 Lee, David. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-28]. (原始内容存档于2019-08-17) (英国英语).
- ^ 11.0 11.1 11.2 11.3 11.4 Constantin, Lucian. Petya ransomware is now double the trouble. NetworkWorld. [2017-06-27]. (原始内容存档于2017-07-31).
- ^ Scherschel, Fabian A. Petya, Mischa, Goldeneye: Die Erpresser sind Nerds. Heise Online. 2016-12-15 [2017-07-03]. (原始内容存档于2017-09-22) (德语).
- ^ 13.0 13.1 13.2 Turner, Giles; Verbyany, Volodymyr; Kravchenko, Stepan. New Cyberattack Goes Global, Hits WPP, Rosneft, Maersk. Bloomberg. 2017-06-27 [2017-06-27]. (原始内容存档于2019-11-05).
- ^ 14.0 14.1 14.2 Tax software blamed for cyber-attack spread. BBC Newsv. 2017-06-28 [2017-06-28]. (原始内容存档于2019-06-16).
- ^ Cyberattack Hits Ukraine Then Spreads Internationally. The New York Times. 2017-06-27 [2017-06-28]. (原始内容存档于2017-06-27).
- ^ Lee, David. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-28]. (原始内容存档于2019-08-17).
- ^ Burgess, Matt. There's another 'worldwide' ransomware attack and it's spreading quickly. Wired UK. [2017-06-27]. (原始内容存档于2017-06-27).
- ^ 18.0 18.1 Microsoft, Analysts See Hack Origin at Ukrainian Software Firm. Bloomberg. 2017-06-28 [2017-07-01]. (原始内容存档于2017-06-28).
- ^ Jack Stubbs, Pavel Polityuk. Family firm in Ukraine says it was not responsible for cyber attack. Reuters. 2017-07-03 [2017-07-05]. (原始内容存档于2017-07-04).
- ^ 20.0 20.1 20.2 Hern, Alex. Hackers who targeted Ukraine clean out bitcoin ransom wallet. The Guardian. 2017-07-05 [2017-07-10]. ISSN 0261-3077. (原始内容存档于2017-07-10) (英国英语).
- ^ A new ransomware outbreak similar to WCry is shutting down computers worldwide. Ars Technica. [2017-07-01]. (原始内容存档于2017-06-30).
- ^ Frenkel, Sheera. Global Ransomware Attack: What We Know and Don’t Know. The New York Times. 2017-06-27 [2017-06-28]. (原始内容存档于2017-06-27).
- ^ 23.0 23.1 Ukrainian software company will face charges over cyber attack, police suggest. AP. 2017-07-03 [2017-07-10]. (原始内容存档于2017-07-10) (澳大利亚英语).
- ^ Backdoor built in to widely used tax app seeded last week’s NotPetya outbreak. Ars Technica. [2017-07-10]. (原始内容存档于2017-07-08) (美国英语).
- ^ Jack Stubbs, Matthias Williams. Ukraine scrambles to contain new cyber threat after 'NotPetya' attack. Reuters. 2017-07-05 [2017-07-07]. (原始内容存档于2017-07-07).
- ^ New ransomware outbreak. Kaspersky Blog. Kaspersky Lab. [2017-06-27]. (原始内容存档于2017-06-27).
- ^ 27.0 27.1 27.2 Brandom, Russell. A new ransomware attack is hitting airlines, banks and utilities across Europe. The Verge. 2017-06-27 [2017-06-27]. (原始内容存档于2017-07-02).
- ^ Goddin, Dan. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica: 1. 2017-04-14 [2017-05-13]. (原始内容存档于2017-05-13).
- ^ India worst hit by Petya in APAC, 7th globally: Symantec. The Economic Times. 2017-06-29 [2017-06-29]. (原始内容存档于2017-06-29).
- ^ Petya Ransomware Outbreak Originated in Ukraine via Tainted Accounting Software. BleepingComputer. [2017-06-29]. (原始内容存档于2017-06-28) (美国英语).
- ^ 31.0 31.1 Hatmaker, Taylor. In aftermath of Petya, congressman asks NSA to stop the attack if it knows how. Tech crunch. 2017-06-28 [2017-06-29]. (原始内容存档于2017-06-29).
- ^ Petya.2017 is a wiper not a ransomware – Comae Technologies. Comae Technologies. 2017-06-28 [2017-06-29]. (原始内容存档于2017-06-28).
- ^ 33.0 33.1 Brandom, Russell. It’s already too late for today’s ransomware victims to pay up and save their computers. The Verge. 2017-06-27 [2017-06-28]. (原始内容存档于2017-06-27).
- ^ Tuesday’s massive ransomware outbreak was, in fact, something much worse. Ars Technica. [2017-06-28]. (原始内容存档于2017-07-17) (美国英语).
- ^ Cyber-attack was about data and not money, say experts. BBC News. 2017-06-29 [2017-06-29]. (原始内容存档于2019-08-05) (英国英语).
- ^ Cimpanu, Catalin. Vaccine, not Killswitch, Found for Petya (NotPetya) Ransomware Outbreak. Bleeping Computer. [2017-07-16]. (原始内容存档于2017-07-13).
- ^ Rogers, James. Petya ransomware: Experts tout 'vaccine' to protect computers from crippling cyber attack. Fox News. 2017-06-28 [2017-06-29]. (原始内容存档于2017-06-28).
- ^ Security researcher creates 'vaccine' against ransomware attack. The Telegraph. [2017-06-29]. (原始内容存档于2017-06-28).
- ^ Lee, Dave. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-29]. (原始内容存档于2017-06-28).
- ^ 40.0 40.1 Whittaker, Zack. Six quick facts to know about today's global ransomware attack. ZDNet. [2017-06-29]. (原始内容存档于2017-06-29).
- ^ Warren, Tom. Microsoft issues ‘highly unusual’ Windows XP patch to prevent massive ransomware attack. The Verge. Vox Media. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-14).
- ^ A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks. Wired. [2017-06-29]. (原始内容存档于2017-06-27).
- ^ Griffin, Andrew. Chernobyl's radiation monitoring system has been hit by the worldwide cyber attack. The Independent. 2017-06-27 [2017-06-27]. (原始内容存档于2017-06-27) (英国英语).
- ^ Jacob Kastrenakes. Petya virus is something worse than ransomware, new analysis shows. theverge. 2017年6月28日 [2017年6月29日]. (原始内容存档于2017年7月9日).
- ^ 45.0 45.1 Scott, Mark; Perlroth, Nicole. New Cyberattack Spreads in Europe, Russia and U.S.. The New York Times. 2017-06-27 [2017-06-27]. ISSN 0362-4331. (原始内容存档于2018-04-13) (美国英语).
- ^ 46.0 46.1 'Petya' Cyberattack Cripples Ukraine, And Experts Say It's Spreading Globally. NPR. 2017-06-27 [2017-06-27]. (原始内容存档于2017-06-27) (英语).
- ^ Henley, Jon; Solon, Olivia. 'Petya' ransomware attack strikes companies across Europe and US. The Guardian. 2017-06-27 [2017-06-27]. ISSN 0261-3077. (原始内容存档于2017-06-27) (英国英语).
- ^ Lieu, Ted. Letter to NSA director (PDF). House. [201-06-29]. (原始内容存档 (PDF)于2017-07-06).
- ^ New computer virus spreads from Ukraine to disrupt world business. Reuters. 2017-06-29 [2017-06-29]. (原始内容存档于2017-06-28).
- ^ 澎湃新闻网. 卡巴斯基:此轮病毒攻击并非“Petya”病毒变种. 网易科技. [2017-06-28]. (原始内容存档于2019-02-17).