来源: 时间:2022-05-12 17:35:25
petya ransomware是新一波网络攻击的一部分,该攻击已袭击了整个欧洲的计算机服务器,锁定了计算机数据并削弱了企业部门的企业服务。乌克兰和俄罗斯受影响最严重,尽管这次袭击也影响了美国和其他西欧国家的一些公司。 那么,petya勒索软件攻击到底是什么,它如何影响pC?另外,究竟可以做些什么来保护自己免受勒索软件的侵害?我们解释你需要知道的一切。
什么是petya勒索软件?它在视窗系统中利用了什么漏洞?
petya是一种勒索软件,类似于Wannacry攻击。根据安全研究公司Kasperksy的说法,petya可能是petya.a,petya.D或petrWrap的变体。但是,该公司认为这不是WannaCry网络攻击的变体。
卡巴斯基的帖子还指出,petya正在利用Wannacry attack使用的EternalBlue漏洞。博客文章指出: “这似乎是一个复杂的攻击,涉及多个攻击媒介。我们可以确认,至少在公司网络中,使用了经过修改的EternalBlue漏洞进行传播。”
对于那些不记得的人,WannaCry攻击影响了全球超过300,000台计算机,并且该攻击还利用了Microsoft Windows系统中的此特定安全漏洞。微软发布了一个安全补丁来修复Windows 10、Windows 8,7甚至Windows Xp pc中的 “eternalblue” 漏洞。问题与许多Windows更新相同: 人们可能没有应用安全补丁或下载更新。
petya到底是如何传播的?它对受感染的计算机有什么作用?
petya是一种勒索软件,它遵循WannaCry的模式。勒索软件锁定了计算机的文件,并要求300美元的比特币作为赎金来解锁数据。计算机上的所有数据都被加密。
此消息在计算机上闪烁,“如果您看到此文本,则您的文件将不再可访问,因为它们已加密。也许您正忙于寻找恢复文件的方法,但不要浪费时间。没有我们的解密服务,任何人都无法恢复您的文件。”
根据卡巴斯基安全团队的说法,为了使凭据得以传播,勒索软件依赖于一个名为 “la Mimikatz” 的自定义工具。这将从lsass.exe进程中提取凭据,该进程是Windows系统中的关键文件之一。这代表本地安全机构子系统服务。
据信,该攻击是针对乌克兰第三方软件MeDoc上使用的更新而开始的,该软件已被该国许多政府组织使用。据报道,这也是乌克兰在该地段受影响最严重的原因。卡巴斯基说,超过60% 的袭击发生在乌克兰,俄罗斯以30% 的袭击位居第二。但这些只是卡巴斯基的初步发现。
一旦恶意软件感染了计算机,它将等待一个小时左右,然后重新启动系统。重新启动后,文件将被加密,用户在其pC上收到赎金便条,要求他们付款。还警告用户不要在重新启动过程中关闭pC,因为这可能会使他们丢失文件。
正如卡巴斯基博客所指出的那样,攻击者希望支付比特币,并要求受害者将赎金发送到特定地址,然后通过电子邮件将比特币钱包id和个人号码发送到 “[email protected]” 地址,确认交易已经完成。
那么如何才能阻止勒索软件攻击呢?
恶意软件似乎会感染整个网络和已知的服务器名称。根据Kasperky的说法,“检查本地网络上的每个Ip和找到的每个服务器上的开放TCp端口445和139。然后,使用上述方法之一攻击那些打开这些端口的机器。”是的,这是一次相当全面的网络攻击。
说到解密文件,目前没有解决办法。根据卡巴斯基的安全研究人员的说法,“勒索软件使用标准的、可靠的加密方案。”该公司指出,除非黑客犯错,否则无法访问数据。
那么谁是petya网络攻击的幕后黑手呢?所有的公司、国家都受到了什么影响?
研究人员仍在寻找谁对这次袭击负责。但这样做的影响是严重的。据美联社报道,在乌克兰,政府机关,能源公司,银行,自动取款机,加油站和超级市场都受到了影响。乌克兰铁路公司,Ukrtelecom和切尔诺贝利发电厂也受到了袭击。
跨国公司,如律师事务所DLA piper,航运巨头Ap Moller-Maersk,制药商默克 (Merck) 以及食品品牌 (如奥利奥,吉百利) 的所有者Mondelez International也受到了影响。在美国,一些医院也受到了这种网络攻击的影响。波兰,意大利和德国是受网络攻击影响的其他国家。在印度,鉴于Moller-Maersk在JNpT运营印度门户码头 (GTI),Jawaharlal Nehru港口受到了影响。这具有180万多个标准容器单元的容量。
那么现在会发生什么呢?
对于初学者来说,黑客使用的电子邮件地址似乎已被服务提供商暂停。posteo在博客中写道: “我们意识到勒索软件勒索者目前正在使用posteo地址作为联系方式。我们的反滥用小组立即对此进行了检查-并立即阻止了该帐户。”posteo还确认,攻击者不再可能访问电子邮件,发送邮件或访问该帐户。
丢失数据的用户无法真正恢复数据,除非他们有备份。由于电子邮件帐户已被关闭,因此无法从黑客那里获取解密密钥。但是,根据HackerFantastic的一条推文,当系统重新启动时,用户应关闭pC电源。他的推文写道: “如果机器重新启动并且您看到此消息,请立即关闭电源! 这是加密过程。如果不开机,文件就可以了。”
petya的问题是,目前研究人员没有解密这些文件的解决方案。鉴于攻击利用了网络中的漏洞,也无法阻止攻击的传播。
对于用户,最好保留其所有数据的备份。最好此数据不应该在线,并且应该加密。用户也不应单击来自可疑id的电子邮件链接或单击要求访问个人信息的链接。同时使用最新软件更新您的视窗电脑。
相关推荐
猜你喜欢