殺傷力更強！勒索病毒變種攻擊速度超“永恆之藍”

“與5月暴發的‘永恆之藍’勒索病毒相比，Petya勒索病毒變種增加了內網共享的傳播途徑，傳播速度更快。在歐洲國家重災區，新病毒變種的傳播速度達到每10分鐘感染5000余台電腦，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。”28日，談及正在肆虐的Petya勒索病毒變種，360首席安全工程師鄭文彬告訴科技日報記者。

鄭文彬介紹，Petya勒索病毒最早出現在2016年初，以前主要利用電子郵件傳播。最新暴發的類似Petya勒索病毒變種不僅使用“永恆之藍”等NSA黑客武器攻擊系統漏洞，還會利用“管理員共享”功能在內網自動滲透，即使打全補丁的電腦也會被攻擊。相比已經引發廣泛重視的“永恆之藍”漏洞，內網共享的傳播途徑更具殺傷力。

與之前的Wannacry勒索病毒相比，鄭文彬分析，病毒作者很可能入侵了烏克蘭的專用會計軟件me-doc，來進行最開始的傳播，他們將病毒程序偽裝成me-doc的升級程序給其用戶下發。

由於這是烏克蘭官方要求的報稅軟件，因此烏克蘭的大量基礎設施、政府、銀行、大型企業都受到攻擊，其他國家同烏克蘭有關聯的投資者和企業也受到攻擊。鄭文彬認為，這也展示了此次勒索病毒變種的一個針對性特征，針對有報稅需求的企業單位進行攻擊也符合勒索病毒的牟利特點。

“此次的勒索病毒會導致電腦不可用。此前的Wannacry病毒僅會加密用戶文件，但是用戶的電腦仍暫時可用。此次的勒索病毒會感染用戶電腦的引導區，導致用戶電腦無法正常開機。”鄭文彬說。

鄭文彬表示，該病毒會加密磁盤主引導記錄（MBR），導致系統被鎖死無法正常啟動，然后在電腦屏幕上顯示勒索提示，它的勒索金額與此前Wannacry病毒完全一致，均為折合300美元的比特幣。如果未能成功破壞MBR，病毒會進一步加密文檔等磁盤文件。

根據比特幣交易市場的公開數據顯示，病毒暴發最初1小時就有10筆贖金付款，其“吸金”速度完全超越了Wannacry。由於病毒作者的勒索郵箱已經被封，目前支付贖金也無法恢復系統。

“不過中國用戶可以放心，如果電腦裝有360，可以放心開機聯網，能夠全面防御勒索病毒變種﹔如果電腦‘裸奔’，建議用戶先斷網再開機，通過U盤使用360免疫工具，進行免疫后再聯網，就可以確保不會被病毒感染。”鄭文彬說。（記者 付麗麗）