日前,国家计算机病毒应急处理中心通过对互联网的监测发现一个名为“Petya”的勒索软件病毒最新变种正在全球大范围蔓延,截至目前,该病毒感染范围包括俄罗斯、乌克兰、波兰、意大利、英国、德国、印度、法国、美国、白俄罗斯在内多国政府和重要行业组织(金融、交通运输、能源等)。根据最新的感染统计情况,我国境内11个省市也有少量主机遭受感染。
我们分析发现,该勒索病毒仅感染微软Windows操作系统主机,该勒索软件进入系统后会对除Windows系统目录以外的所有目录中的DOC、PDF等65种文档、数据、程序代码等类型文件进行加密,并对磁盘主引导记录(MBR)进行加密劫持,并利用计划任务功能强制重启主机,重启后主机将无法正常进入操作系统,而是展示勒索信息,要求受害者按照勒索信息中的方式支付相当于300美金的比特币勒索金以换取解密密钥。该勒索软件采用了与今年5月爆发的“WannaCry”勒索病毒类似的网络传播方式,即通过利用“永恒之蓝”漏洞进行主动传播,一样采用AES128位与RSA2048位组合加密算法对用户文件进行加密,并且同样要求用户支付比特币形式的勒索金。
除此之外,该勒索软件还具有如下特点:
1、“Petya”的勒索信息只有英文版本;
2、“Petya”中并没有“WannaCry”采用的“控制开关”(“Kill Switch”),一旦开始运行,就会立即进行破坏;
3、“Petya”除加密文件外,还对磁盘主引导记录进行加密,造成系统无法正常启动;
4、“Petya”除了利用“永恒之蓝”漏洞进行网络传播外,还会从被感染主机的内存中获取Windows系统用户名密码,并利用这些用户名密码,结合Windows系统自带的管理工具命令行(WMIC)和远程命令执行工具“PSEXEC.exe”尝试在内网中的其他主机上远程执行命令,实现进一步传播破坏。
目前,该勒索病毒虽然对我国影响有限,但对国外多个重要信息系统造成了较大影响和损失,且其破坏能力较“WannaCry”更强,尚无解密和数据恢复方法。因此,国家计算机病毒应急处理中心建议:
1、已经感染勒索病毒的主机立即进行隔离处置,防止感染范围进一步扩大;
2、检查并确保所有Windows操作系统主机都安装了包括MS17-010补丁在内的所有安全更新补丁;
3、对重要数据和系统进行备份,并确保备份数据的安全性和可用性;
4、除非必须使用,建议关闭Windows操作系统中的Server和WMI服务;
5、对防病毒产品进行更新并开启实时防护和主动防御功能。