勒索軟體影響多個國家，它到底是怎樣的一種病毒

6月27日晚間，代號為「Petya」的勒索病毒肆虐全球，根據外國媒體報道，俄羅斯石油公司Rosneft、烏克蘭國家儲蓄銀行和政府系統都受到了攻擊，僅俄、烏兩國就有80多家公司被該病毒感染，就連烏克蘭副總理的電腦也不幸中招。其他受影響的國家包括英國、印度、荷蘭、西班牙、丹麥等。但有新的分析顯示，惡意軟體被設計為看起來像 ransomware，但是實際上是為破壞目的設計的 wiper 惡意軟體。那什麼是勒索軟體呢？

勒索軟體：是一種特殊的惡意軟體，又被人歸類為「阻斷訪問式攻擊」（denial-of-access attack），其與其他病毒最大的不同在於手法以及中毒方式。其中一種勒索軟體僅是單純地將受害者的電腦鎖起來，而另一種則系統性地加密受害者硬碟上的文件。所有的勒索軟體都會要求受害者繳納贖金以取回對電腦的控制權，或是取回受害者根本無從自行獲取的解密密鑰以便解密檔案。勒索軟體通常通過木馬病毒的形式傳播，將自身為掩蓋為看似無害的文件，通常會通過假冒成普通的電子郵件等社會工程學方法欺騙受害者點擊鏈接下載，但也有可能與許多其他蠕蟲病毒一樣利用軟體的漏洞在聯網的電腦間傳播。

Petya類似於永恆之藍，但是不同的是，它不會對電腦中的每個文件都進行加密，而是加密NTFS分區、覆蓋MBR、阻止機器正常啟動，影響更加嚴重。攻擊者通過發送惡意的求職郵件進行魚叉攻擊，如果想要恢復，需要支付價值相當於300美元的比特幣。目前全球範圍內沒有一例成功支付贖金，進而解鎖了文件和系統的報告。該病毒不光和其他勒索病毒迥然不同，更是違逆了近10多年來，各種病毒、木馬大都已牟利為目的的「行業潮流」。

Petya勒索病毒變種會通過郵箱附件傳播，利用攜帶漏洞的DOC文檔進行攻擊。中毒後，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟後，會顯示一個偽裝的界面，此界面實際上是病毒顯示的，界面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。

從破壞能力來看， Petya除了像其他勒索病毒一樣加密鎖定文件之外，還會修改硬碟主引導記錄（MBR）、加密硬碟文件分配表（MFT），導致電腦不能正常啟動。

雖然微軟近幾年來一直在保護其操作系統並保護Windows用戶免受病毒威脅，但是無法阻止最近攻陷全球數十萬台電腦的勒索軟體攻擊，這可能會歸咎於沒有安裝最新安全修補程序的舊版本Windows。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！