您的位置:首页 >电信 >

Petya勒索软件网络攻击: 不是WannaCry,相同的锁定和需求策略

新一波网络攻击袭击了计算机和企业服务器。在大规模的WannaCry攻击影响了全球超过300,000台计算机之后,新的勒索软件是petya,它主要袭击了乌克兰和俄罗斯,在欧洲其他地方传播,并打击了美国的一些大公司,此外还关闭了孟买的Jawaharlal Nehru港口信托基金。

petya和WannaCry一样吗?

petya勒索软件已经出现在2016年,到目前为止,研究人员认为它与WannaCry不同。但是,最新的攻击以及WannaCry的攻击利用了Windows系统中的相同漏洞,即EternalBlue。勒索软件本质上将用户锁定在他或她的计算机之外,并要求支付一定金额。赎金通常是在用户解密被劫持的数据之前以比特币要求的。专家说,petya锁定了Windows中的 “主引导记录”,用微软的话来说,这是 “磁盘上最重要的数据结构”-它包含磁盘分区上的所有信息以及允许操作系统加载/引导到pC内存上的代码。

根据安全研究公司Kasperksy的说法,最新的勒索软件可能是petya.a,petya.D或petrWrap的变体,尽管规模不大。该公司不认为这是WannaCry的变体。

那么,最近的攻击是在做什么?

petya是更高级的勒索软件,研究人员确信它没有杀死开关。像WannaCry一样,它锁定了计算机的文件,并要求300美元的比特币作为赎金。计算机上的所有数据都被加密,研究人员说没有办法对其进行解密。一旦它感染了计算机,它将等待一个小时左右,然后重新启动系统。之后,文件被加密,用户会看到赎金记录。还警告用户在重新启动期间不要关闭。“如果您看到此文本,则您的文件将不再可访问,因为它们已加密。也许您正忙于寻找恢复文件的方法,但不要浪费时间。没有我们的解密服务,任何人都无法恢复您的文件。”

根据卡巴斯基的说法,黑客使用了 “标准的,可靠的加密方案”,除非他们犯了一个错误,否则无法取回文件。安全公司称这是一种相当 “复杂的攻击”,迅速蔓延到网络。要求受害者将赎金发送到一个地址,然后通过电子邮件将其比特币钱包id发送给[email protected]。这是为了确认交易已经完成。

什么是EternalBlue漏洞,微软有修复程序吗?

EternalBlue是Windows 10、8、7甚至Xp中都存在的漏洞。EternalBlue是由美国国家安全局 (NSA) 与其他黑客工具一起开发的。但这与该公司的其他一些人一起在网上泄露。微软在2017年3月发布了补丁。但是,人们并不总是升级他们的pc或安装安全更新。在那些即使在WannaCry攻击之后也可能没有升级Windows上运行的pc的企业中,问题变得更加严重。

勒索软件攻击是如何开始的?

据信,该攻击是针对乌克兰许多政府组织使用的名为MeDoc的第三方乌克兰软件的更新而开始的。乌克兰受影响最严重: 卡巴斯基的初步调查结果表明,60% 以上的袭击发生在乌克兰,30% 发生在俄罗斯。在乌克兰,影响范围很广: 从政府办公室到电信公司,超市,银行,甚至切尔诺贝利发电厂。

对于解密文件,目前没有解决方案。卡巴斯基的研究人员说: “勒索软件使用标准的,可靠的加密方案”。该公司指出,除非黑客犯错,否则无法访问数据。跨国公司,例如DLA piper律师事务所,航运巨头Ap Moller-Maersk,制药商默克以及拥有吉百利奥利奥的Mondelez International,受到了影响。在美国,一些医院受到了影响。波兰,意大利和德国是petya产生影响的其他国家。在印度,自从Ap Moller-Maersk在JNpT运营印度门户码头以来,港口信托受到打击。这具有180万多个标准容器单元的容量。

那么现在会发生什么呢?

第一步,服务提供商已暂停了黑客使用的电子邮件地址。posteo在一篇博客文章中写道: “我们意识到勒索软件勒索者目前正在使用posteo地址作为联系方式。我们的反滥用小组立即对此进行了检查-并立即阻止了该帐户。”posteo说,攻击者不再可能访问该电子邮件。对于丢失数据的用户,这意味着无法从黑客那里获取解密密钥,因为电子邮件帐户已被关闭。

但是,根据HackerFantastic的一条推文,当系统自行重新启动时,用户应关闭计算机电源而不是打开计算机电源。这是因为在重新启动期间,文件正在加密,并且如果在此期间关闭了计算机,则文件仍然是安全的,尽管仍然无法访问。研究人员警告不要向黑客付款,称不确定他们是否会取回数据。

相关推荐

猜你喜欢

特别关注