勒索病毒——2017年5月12日全球发生了最大规模的勒索病毒网络攻击事件进入计算机就会自动运行同时删除勒

开通VIP，畅享免费电子书等14项超值服

首页

好书

留言交流

下载APP

联系客服

2017.09.18

2017年6月29日晚，新勒索病毒Petya，范围涵盖乌克兰、俄罗斯、西班牙、法国、英国、丹麦等国家。2017年7月4日，乌克兰警方没收了该国一家会计软件公司的服务器，因为该公司涉嫌传播导致全球很多大公司电脑系统瘫痪的勒索病毒。

中文名称

勒索病毒

外文名称

Blackmailvirus

原理

利用系统内部的加密处理

性质

不可逆

解密

病毒开发者本人

Ransomeware是目前增长最快的一种网络安全威胁因素，被感染的计算机数据将会被加密。之后，受害者需要支付一定的赎金以获取密码来解锁数据。[2]

该类型病毒的目标性强，主要以邮件为传播方式。

该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。

新型勒索病毒，运行流程复杂，且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为：

1、调用加密算法库；

2、通过脚本文件进行Http请求；

3、通过脚本文件下载文件；

4、读取远程服务器文件；

5、通过wscript执行文件；

6、收集计算机信息；

7、历文件。

该样本主要特点是通过自身的解密函数解密回连服务器地址，通过HTTPGET请求访问加密数据，保存加密数据到TEMP目录，然后通过解密函数解密出数据保存为DLL，然后再运行DLL(即勒索者主体)。该DLL样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成秘钥，进而实现对指定类型的文件进行加密，即无需联网下载秘钥即可实现对文件加密。

1、通过脚本文件进行Http请求；

2、通过脚本文件下载文件；

3、读取远程服务器文件；

4、收集计算机信息；

5、遍历文件；

6、调用加密算法库。

量防止用户感染该类病毒，我们可以从安全技术和安全管理两方面入手：

1、不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击；

2、尽量不要点击office宏运行提示，避免来自office组件的病毒感染；

3、需要的软件从正规(官网)途径下载，不要双击打开.js、.vbs等后缀名文件；

4、升级深信服NGAF到最新的防病毒等安全特征库；

5、升级企业防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击；

6、定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复。[5]

2017年5月12日，一次迄今为止最大规模的勒索病毒网络攻击席卷全球。据卡巴斯基统计，在过去的十几个小时里，全球共有74个国家的至少4.5万Windows系统电脑中招。而杀毒软件Avast统计的数据更为惊人：病毒已感染全球至少5.7万台电脑，并仍在迅速蔓延中。

美国、中国、日本、俄罗斯、英国等重要国家均有攻击现象发生，其中俄罗斯被攻击得最为严重。而对英国的攻击主要集中在英国国家医疗服务体系（NHS），旗下至少有25家医院电脑系统瘫痪、救护车无法派遣，极有可能延误病人治疗，造成性命之忧。[6]

2017年6月28日，Petya勒索病毒变种开始肆虐，乌克兰、俄罗斯等欧洲多国已大面积感染。

乌克兰警方2017年7月4日没收了该国一家会计软件公司的服务器，因为该公司涉嫌传播导致全球很多大公司电脑系统瘫痪的勒索病毒。为了调查上周发生的肆虐全球的勒索病毒攻击案，警方没收了乌克兰最流行会计软件开发公司M.E.Doc的服务器。

2017年6月28日，感染全球150多个国家的Wannacry勒索病毒事件刚刚平息，Petya勒索病毒变种又开始肆虐，乌克兰、俄罗斯等欧洲多国已大面积感染。

Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞，还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区，新病毒变种的传播速度达到每10分钟感染5000余台电脑，多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷，甚至乌克兰副总理的电脑也遭到感染。[16]

Petya勒索病毒最早出现在2016年初，以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力，即使电脑打齐补丁，也可能被内网其他机器渗透感染，必须开启360等专业安全软件进行拦截，才能确保电脑不会中毒。

该病毒会加密磁盘主引导记录（MBR），导致系统被锁死无法正常启动，然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR，病毒会进一步加密文档、视频等磁盘文件。它的勒索金额与此前Wannacry病毒完全一致，均为折合300美元的比特币。根据比特币交易市场的公开数据显示，病毒爆发最初一小时就有10笔赎金付款，其“吸金”速度完全超越了Wannacry[15]。

2017年5月12日晚，中国大陆部分高校学生反映电脑被病毒攻击，文档被加密。病毒疑似通过校园网传播。随后，山东大学、南昌大学、广西师范大学、东北财经大学等十几家高校发布通知，提醒师生注意防范。除了教育网、校园网以外，新浪微博上不少用户反馈，北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。[9]

中石油所属部分加油站运行受到波及。5月13日，包括北京、上海、杭州、重庆、成都和南京等多地中石油旗下加油站在当天凌晨突然断网，因断网无法刷银行卡及使用网络支付，只能使用现金，加油站加油业务正常运行。[10]

截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

2017年5月15日，珠海市公积金中心下发了《关于5月15日暂停办理住房公积金业务的紧急通知》，为有效应对Windows操作系统敲诈者病毒在互联网和政企专网大面积蔓延，对住房公积金业务数据和服务终端资料可能造成的安全威胁，珠海市住房公积金管理中心决定加固升级内外网络，暂停办理所有住房公积金业务。[11]

俄罗斯：内政部称约1000台Windows计算机遭到攻击，但表示这些计算机已经从该部门计算机网络上被隔离。

朝鲜：在这大范围的攻击下逃过一劫，守住了一方净土。

日本：日本警察厅当天表示在该国国内确认了2起，分别为某综合医院和个人电脑感染病毒，并未造成财产损失。尚不清楚日本的案例是否包含在这150个国家中。