Petya病毒席卷欧洲，它真的有那么厉害吗？

据媒体报道，被称为Petya的病毒正在欧洲、美国和南美洲地区大肆传播。这一病毒不仅袭击了纽约、鹿特丹和阿根廷的港口运营系统，而且也破坏了基辅的政府系统。乌克兰遭受了大规模的“未知病毒”攻击。包括首都基辅的鲍里斯波尔国际机场（Boryspil International Airport）、乌克兰国家储蓄银行（Oschadbank）、船舶公司（AP Moller-Maersk）、俄罗斯石油公司（Rosneft）和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。另外，该病毒也让英国媒体公司WPP的运营系统瘫痪。

此外，该病毒甚至破坏了前切尔诺贝利核电厂的防控系统，迫使科学家手动检测辐射水平。

病毒感染分析

各大公司均对该病毒进行了分析，他们普遍认为本次的攻击是勒索病毒Petya的新变种。这次的Petya勒索程序从早前的Petya中借用了部分代码。所以国外的某些研究人员将其称为NotPetya、Petna或者SortaPetya。

腾讯安全管家发布分析称，根据乌克兰CERT官方消息，邮件附件被认为该次病毒攻击的传播源头，邮箱附件是一个DOC文档，文档通过漏洞CVE-2017-0199来触发攻击，电脑管家也溯源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中，并没有完整重现整个攻击过程。

在2016年，Petya勒索软件的传播途径是通过邮件进行传播，邮件伪装成求职简历，木马通过链接的方式加入邮件中并引导受害者运行。

腾讯电脑管家认为，变种病毒样本运行之后，会枚举内网中的电脑，并尝试在445等端口使用SMB协议进行连接。深入分析发现病毒连接时使用的是“永恒之蓝”（EternalBlue）漏洞，此漏洞在之前的WannaCry 2.0勒索病毒中也被使用，是造成WannaCry全球快速爆发的重要原因之一，此次变种Petya勒索病毒也借助此漏洞达到了快速传播的目的。变种Petya勒索病毒比WannaCry有过之而无不及，它会尝试从内存和文件中寻找密码，并用其他工具感染整个网络的电脑，即使其他的电脑已经打过补丁，也可能中招。

Petya和其他流行勒索软件不一样，它是通过攻击底层的磁盘架构达到无法访问整个系统的目的。病毒感染分为两个阶段。第一个阶段，病毒会修改系统的MBR引导扇区，并导致电脑蓝屏，磁盘内的文件还没有被加密，我们仍然可以读取。如果电脑进行重启，病毒代码会在Windows操作系统启动之前控制电脑，执行加密等恶意操作。此时，病毒会显示一个伪装界面，假装称正在修复系统，如果强行断电会丢失全部数据。但这个过程，实际是病毒加密文件的过程，加密完成后，病毒向受害者勒索赎金。需要注意的是，变种Petya使用了AES-128和RSA-2048双重加密的机制，一旦加密完成，回复文件的希望渺茫。

加密的流程和2016年出现的勒索病毒很相似，也有安全人员在Twitter上确认了二者的关系。但这一次的病毒感染后留下了勒索邮箱作为联系方式，此前则要通过暗网地址获取解密密钥。

病毒的防范和后续

此前在WannaCry 2.0中有一个开关，如果能病毒能访问一个域名便会停止攻击。这一次的病毒，也有一个“开关”来自Cybereason的安全研究人员Amit Serper最先找到病毒阻止持续感染计算机的方法。他发现，会首先搜索某个本地文件，如果说该文件存在，则退出加密过程。也就是说，用户只要电脑中建立该文件，并将该文件的权限设为只读，就能阻止变种Petya勒索程序执行了。

对于大众而言，尽快安装防病毒软件和修复系统漏洞是防范病毒的合理方法，此外，也不要运行可疑文件。

据外媒报道，黑客只拿到了29笔赎金，价值7497美元（约合5.1万元）。考虑到勒索病毒波及的广度，黑客恐怕要气的吐血了。黑客要求给比特币钱包交付赎金并发送邮件来确认支付成功，才可能收到解密密钥。但黑客电邮已经被其电邮公司Posteo封号，公司发表声明表示，我们不会容忍自家平台被黑客利用，迅速封掉电邮账号是必须的。