最新NOCRY勒索病毒(encrypted勒索病毒)
近日,多国网络遭新勒索病毒袭击。据分析,新病毒与“想哭”同样利用了黑客工具“永恒之蓝”。图为受感染电脑屏幕截图
扫码关注外事儿即刻掌握全球
据新华社电 全球多个国家的网络27日遭新一轮勒索病毒攻击。乌克兰受害严重,其政府部门、国有企业相继“中招”。据西方媒体报道,有研究人员发现,与上月的“想哭”勒索病毒相似,新勒索软件同样利用了遭泄密的美国国家安全局网络的黑客工具“永恒之蓝”。
波及多国
乌克兰首当其冲 随后蔓延至欧洲北美
美联社报道,27日出现的勒索病毒看似最先攻击乌克兰,随后蔓延至欧洲、北美地区多个国家。
据西方媒体报道,受影响的全球大公司包括:俄罗斯石油公司、丹麦航运与石油集团马士基、英国传播服务集团WPP、荷兰TNT国际快递公司、美国制药公司默克、美国食品业集团亿滋国际、美国欧华律师事务所等。
俄罗斯网络安全公司Group-IB说,乌克兰和俄罗斯境内已有超过80家公司受影响。勒索软件侵入电脑后,将文件加密锁定,要求受害者支付价值300美元的比特币才能解锁文件。
另据俄网络安全公司卡巴斯基实验室初步调查显示,该勒索软件当天已实施约2000次攻击,90%以上在乌克兰和俄罗斯,波兰、意大利、德国、法国、英国、美国也受害。
俄罗斯石油公司证实,其网络服务器当天遭遇了一次“强力”攻击,但多亏其“备用系统”,公司的石油生产和开采并未中断。
美联社报道,该勒索软件的蔓延速度看似呈逐渐放缓趋势,部分原因可能是该软件需要通过电脑系统“直接接触”传播,在与乌克兰网络关联较少的地区,其传播受限。另据路透社,已有30多名受害者支付了比特币赎金。
展开全文
受害严重
切尔诺贝利隔离区监测系统被迫“下线”
据西方媒体报道,乌克兰高级别政府部门、中央银行、国家电力公司、首都基辅的机场、切尔诺贝利核事故隔离区监测系统、乌克兰地铁、乌克兰电信公司、飞机制造商安东诺夫公司及一些商业银行、能源公司、自动提款机、加油站、大型超市均受影响。
切尔诺贝利核事故隔离区辐射监测系统被迫“下线”。隔离区管理局说,工作人员手持仪器人工监测辐射情况,“几十年前就是这样做”。
乌克兰中央银行在一份声明中说,受网络袭击影响,“一些乌克兰银行的业务、客户服务正遭遇困难”。
乌克兰总理弗拉基米尔·格罗伊斯曼在社交网站脸书上说,这样的网络袭击在乌克兰“史无前例”,但他称该国“重要系统未受影响”。
何种病毒
新病毒或为已知病毒Petya变体
上月12日,名为“想哭”的勒索病毒席卷全球约150个国家、实施超过20万次攻击,影响政府部门、公共交通、医疗、邮政、通信等领域。受害者被要求限期支付价值300美元的比特币以换取文件解锁,否则赎金上涨。“想哭”软件风波在较短时间内平息。
目前,新一轮勒索病毒的来源、传播途径及其背后动机还不清楚。
Group-IB公司和一些网络安全专家说,新勒索软件看似是去年出现的Petya勒索软件变体。但卡巴斯基实验室说,这是一款“从没见过的”新型勒索软件。
微软公司发言人说,正调查这起网络袭击,将采取妥善措施保护用户,并称微软公司的杀毒软件能够发现并删除该勒索软件。
美国白宫国家安全委员会在一份声明中说,美政府机构正调查这起事件,美国“决心对相关负责人追究责任”。美国国土安全部称,正监视这起网络袭击并与其他国家协调配合;建议受害者不要支付赎金,因为即使付了赎金,也不一定能保证文件恢复。
对话
信息技术专家
勿轻易点开陌生邮件
最新的勒索病毒是如何产生以及传播的?会不会波及中国?对此,新京报咨询了杭州安恒信息技术有限公司安全研究院院长吴卓群。
新京报:新病毒与之前的“想哭(WannaCry)”勒索病毒有何不同?
吴卓群:首先,被攻击的电脑受感染程度更深了。此前,“想哭”勒索病毒只会对文件进行加密,受到攻击的电脑可通过重启的方式恢复系统。
这次的新病毒Petya除对计算机中的文件进行加密之外,还对磁盘引导区做了加密处理。也就是说,被感染的计算机重启后也无法恢复系统,依然会看到告知支付赎金的界面。
而且,新病毒的病毒工具包中还装有PsExec工具,可以对被感染电脑进行远程操作,并通过一些root口令(超级管理员密码),直接在其他计算机上执行命令。
此外,病毒的攻击方式也有所不同。“想哭”勒索病毒必须首先在互联网传播,再攻击到内网。在此基础上,这次的新病毒可能还利用了RTF富文本格式的漏洞进行攻击。新病毒将RTF富文本格式作为攻击的载体,将病毒通过电子邮件的方式发送到目标人员的邮箱中。安全意识不高的人,在点击了携带病毒的文件后,病毒就会到达内网,接下来就会通过同“想哭”一样的方式传播,导致内网大量的感染。
新京报:为何会在短时间内出现两次全球范围网络袭击?
吴卓群:就目前的情况来看,两次勒索病毒袭击都利用了“永恒之蓝”漏洞,通过这个漏洞,病毒的传播非常方便。虽然针对“永恒之蓝”漏洞的补丁早就出现,但依然有很多计算机没有及时打补丁。
我们可以看到,两次病毒袭击的攻击对象都是政府机构、大型企业等内网。通常情况下,内网与外网是隔离状态,防范能力相对较弱。
而且,这次病毒攻击是有目的性的,应该是特定人员对特定目标进行了投递,比如给特定人员发送了邮件,才会受到感染。根据目前的情况判断,新病毒的投递目标不在中国。
新京报:该如何应对这次勒索病毒袭击?
吴卓群:由于勒索者公布的邮箱已被查封,因此,现在即使交付了勒索金,也无法收取恢复系统的秘钥,所以必须从防范病毒感染的角度入手。
首先要修复“永恒之蓝”漏洞。国内大部分暴露在互联网上的服务器都打过补丁,但很多内网的计算机还没有打。对于打过补丁的电脑而言,病毒很难进行远程直接攻击。
由于新病毒主要通过邮件进行投递,修复了漏洞的计算机仍然有可能感染病毒。对于收到的恶意邮件或不确定来源的邮件,尽量不要打开。
新京报记者 池乔宁
分析
不止加密文档 新病毒还改写加密主引导区
针对全球多国27日再次遭受大规模勒索病毒攻击事件,美国信息安全公司赛门铁克和火眼当天说,与前不久袭击全球的“想哭”勒索病毒类似,最新勒索病毒也利用了美国国家安全局网络武器库的黑客工具“永恒之蓝”。
赛门铁克公司安全响应团队说,最新勒索病毒是已知病毒Petya的一个变种,该病毒自2016年以来就存在。不同于普通勒索病毒,Petya病毒不仅给中招电脑的文档加密,还改写和加密电脑主引导记录。主引导记录是指电脑开机后系统访问硬盘时必须要读取的首个扇区。
最新Petya病毒爆发后也迅速传播,影响广泛。赛门铁克研究人员说,最新勒索软件的一个传播方式是利用“永恒之蓝”黑客工具入侵系统,这与“想哭”勒索病毒的传播方式相似。研究人员还在分析最新Petya病毒的其他传播方式。
火眼公司安全人员也在博客中说,初步分析,Petya勒索病毒最新变种可能是利用“永恒之蓝”传播。
“永恒之蓝”是美国国家安全局基于微软“视窗”操作系统一个安全漏洞开发的黑客工具,可用以侵入存在这一安全漏洞的电脑系统。黑客组织“影子经纪人”从国安局的网络武器库中盗取了包括“永恒之蓝”在内的一批黑客工具,并于今年4月在网上公布。5月份大肆传播的“想哭”病毒就利用这一工具,有媒体称这是美国安局网络武器被“民用化”的首例。
据新华社电
