新勒索病毒用原漏洞再度肆虐歐洲 61款殺毒軟件中僅16款檢測到

【編者按】

據(jù)美聯(lián)社、《衛(wèi)報(bào)》等6月27日報(bào)道，一種新型高傳染性的電腦病毒正在整個(gè)歐洲引發(fā)大面積感染。報(bào)道稱，這輪病毒足以與五月席卷全球的勒索病毒的攻擊性相提并論。美聯(lián)社稱，遭受該病毒侵害的企業(yè)及機(jī)構(gòu)數(shù)量正迅速增長，有可能發(fā)展為一場真正的世界危機(jī)。澎湃新聞（www.thepaper.cn）將對此話題進(jìn)行實(shí)時(shí)追蹤報(bào)道，敬請關(guān)注。

新型病毒正肆虐歐洲

目前，俄羅斯、烏克蘭、波蘭、法國、意大利、英國及德國均已出現(xiàn)遭受該病毒感染的情況，且烏克蘭的情況最為嚴(yán)重，其電網(wǎng)、銀行與政府辦公室均已出現(xiàn)感染。烏克蘭總理表示，這一襲擊是前所未有的，但是“關(guān)鍵系統(tǒng)還未出現(xiàn)感染”。

此外，俄羅斯能源巨頭俄羅斯石油公司、丹麥航運(yùn)巨頭馬士基集團(tuán)也都遭受了該病毒的攻擊。馬士基集團(tuán)發(fā)言人Anders Rosendahl表示，這一病毒已經(jīng)感染了該集團(tuán)國內(nèi)外所有的分支機(jī)構(gòu)。福布斯新聞網(wǎng)27日的報(bào)道顯示，一家美國醫(yī)院似乎也已遭受感染。

據(jù)俄羅斯的網(wǎng)絡(luò)安全公司Group-IB透露，這種病毒會(huì)鎖住受感染電腦的系統(tǒng)，要求用戶支付價(jià)值300美元的比特幣，并向特定郵箱發(fā)送支付證明才能解鎖。但是，《衛(wèi)報(bào)》消息顯示，用于接收確認(rèn)消息的郵箱已被郵箱提供方關(guān)停了。

德國的電子郵件供應(yīng)方Posteo表示，不會(huì)容忍任何對其平臺的非法利用。這就意味著，電腦病毒的感染者將不再有任何途徑通過支付來給自己的電腦解鎖。

根據(jù)《黑客新聞》27日的報(bào)道，最近的VirusTotal掃描顯示，61款殺毒軟件當(dāng)中只有16款能夠成功檢測到該病毒。美聯(lián)社稱，遭受該病毒侵害的企業(yè)及機(jī)構(gòu)數(shù)量正迅速增長，有可能發(fā)展為一場真正的世界危機(jī)。

“仍利用原先的系統(tǒng)漏洞”

目前，卡巴斯基實(shí)驗(yàn)室的一位研究人員將此次肆虐的病毒定名為Petrwrap，并確定其屬于該公司于今年3月所發(fā)現(xiàn)的Petya勒索軟件的變種之一。

據(jù)天空新聞27日報(bào)道，Petrwrap與其它傳統(tǒng)勒索軟件的功能存在很大區(qū)別。具體來講，Petwrap并不會(huì)逐個(gè)對目標(biāo)系統(tǒng)上的文件進(jìn)行加密。一旦完成感染，該病毒即會(huì)利用一條私鑰對目標(biāo)計(jì)算機(jī)進(jìn)行加密，且在系統(tǒng)解密之前該設(shè)備將無法正常使用。

羅馬尼亞網(wǎng)絡(luò)安全企業(yè)比特梵德（Bitdefender）分析師Bogdan Botezatu表示，他已經(jīng)對一些案例做了分析，認(rèn)為這次的病毒比較接近代號為“黃金眼”（ GoldenEye）的病毒——它是這幾個(gè)月以來流行的勒索病毒家族中的一支。

目前，外界對這些感染背后的信息還知之不多。安天實(shí)驗(yàn)室的主要?jiǎng)?chuàng)始人兼首席技術(shù)架構(gòu)師肖新光對澎湃新聞（www.thepaper.cn）表示，其已經(jīng)開始對病毒進(jìn)行技術(shù)驗(yàn)證。就目前掌握的情況看，它與5月肆虐全球的勒索病毒用的是同一個(gè)套路，利用的還是原有的系統(tǒng)漏洞，另外可能加了弱口令。

反病毒公司Avira、賽門鐵克等安全公司也在推特上發(fā)文稱，這款新型勒索軟件利用了與WannaCry相同的“永恒之藍(lán)”安全漏洞，意味著其同樣能夠在被感染系統(tǒng)之間迅速傳播。

比特梵德認(rèn)為，這意味著在一個(gè)局域網(wǎng)內(nèi)，一旦一臺電腦遭到感染，那么該網(wǎng)內(nèi)的其他電腦也難以幸免。

福布斯新聞表示，近來的感染顯示Petrwrap出自一個(gè)專業(yè)的團(tuán)隊(duì)之手，不像之前的WannaCry那樣，充滿了漏洞與隱藏開關(guān)。在5月由WannaCry引發(fā)的感染風(fēng)潮中，一位英國的技術(shù)人員曾偶然尋找到其隱藏開關(guān)，并一度停止了WannaCry病毒的傳播。

但問題在于，既然Petrwrap與之前的WannaCry利用的是同一系統(tǒng)漏洞，那么在經(jīng)過上次事件的提醒后，在微軟早已發(fā)布系統(tǒng)補(bǔ)丁的情況下，為何仍會(huì)出現(xiàn)大面積的感染呢？

【事件回顧——勒索病毒】

5月12日起約一周的時(shí)間內(nèi)，一款名為“WannaCry（想哭）”的勒索病毒席卷全球150多個(gè)國家和地區(qū)，影響領(lǐng)域包括政府部門、醫(yī)療服務(wù)、公共交通、郵政、通信、汽車制造業(yè)等。據(jù)統(tǒng)計(jì)，全球大約3萬臺電腦被病毒感染。

當(dāng)時(shí)，病毒也是首先在歐洲爆發(fā)，西班牙電信公司、英國61家醫(yī)療企業(yè)、法國汽車制造商雷諾、俄羅斯移動(dòng)運(yùn)營商等都遭到了攻擊。

中國也有近3萬家機(jī)構(gòu)受勒索病毒影響，范圍遍布高校、火車站、自助終端、郵政、加油站、醫(yī)院、政府辦事終端等多個(gè)領(lǐng)域。

業(yè)界普遍認(rèn)為，“想哭”病毒來源于美國國家安全局泄露的病毒武器庫。今年4月，美國國安局利用微軟系統(tǒng)漏洞設(shè)計(jì)的黑客攻擊工具“永恒之藍(lán)”被公之于眾。有黑客基于被公開的系統(tǒng)漏洞編寫出“想哭”勒索病毒。

當(dāng)使用微軟視窗XP等未打補(bǔ)丁的老舊系統(tǒng)上網(wǎng)時(shí)，勒索病毒會(huì)利用漏洞對電腦植入木馬病毒，將電腦文件加密鎖住。用戶需要向黑客支付300美元的贖金后方能解密恢復(fù)。而黑客則威脅用戶如果沒有得到報(bào)酬，就會(huì)刪除這些信息。而用戶在及時(shí)安裝補(bǔ)丁之后，電腦基本可以避免受到病毒感染。

不過，有消息稱，即使交付贖金也并不一定會(huì)解鎖資料，因?yàn)閷＜医ㄗh不要向黑客支付贖金。據(jù)美聯(lián)社此前報(bào)道，截至5月15日，黑客共收到大約7萬美元的贖金。

而在勒索病毒事件逐漸平息的6月，一家韓國公司據(jù)稱向黑客支付了100萬美元，希望贖回他們丟失的數(shù)據(jù)。英國廣播公司（BBC）27日援引一家安全公司發(fā)言人的話稱，此舉被認(rèn)為是對黑客進(jìn)行新的犯罪的一個(gè)巨大刺激。