E安全6月28日訊
今年5月份,WannaCry勒索病毒因其驚人的破壞力席捲全球而登上各大媒體頭條，在這次病毒事件中，WannaCry影響了150個國家1萬多個組織機構。而就在昨日晚間，又一波大規模勒索蠕蟲病毒攻擊重新席捲全球，多國政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。據莫斯科的網路安全公司Group-IB透露，目前為止，僅俄羅斯和烏克蘭兩國就有80多家公司被Petya病毒感染。

新一輪比特幣勒索蠕蟲病毒正在全球瘋狂傳播

其中受衝擊最為嚴重的當數烏克蘭國內各企業，據報道遭遇影響的包括烏克蘭中央銀行、國家電信、市政地鐵以及位於基輔的鮑里斯波爾機場。另外，烏克蘭電力供應商Ukrenego公司的系統也受到入侵——不過該公司一位發言人表示電力供應並未受到攻擊活動的影響。根據相關報道，包括銷售終端機（即POS機）與ATM在內的各類隔離型設備同樣受到勒索軟體波及。

這款病毒在其它各國同樣處於瘋狂傳播當中。丹麥馬士基航運公司報告稱其多個站點所使用的系統受到影響，其中包括該公司位於俄羅斯的Damco後勤部門。此病毒還入侵了俄羅斯石油企業Rosneft公司的伺服器，但目前尚不清楚所造成的具體損害。在美國方面，已知相關案例——律師事務所DLA
Piper的多個美國辦事處受到影響。

本文系E安全獨家報道

此次勒索病毒攻擊的主角：Petrwrap/Petya

卡巴斯基實驗室的一位研究人員將此番肆虐的病毒定名為Petrwrap，並確定其屬於該公司於今年3月所發現的Petya勒索軟體的變種之一。通過對6月18日收集到的樣本進行編譯，研究人員發現該病毒在過去一段時間內一直在進行廣泛的設備感染。另外，根據最近的VirusTotal掃描，61款殺毒軟體當中只有16款能夠成功檢測到該病毒。

本文系E安全獨家報道

Petrwrap本身似乎屬於一款非常簡單的勒索軟體，與其它傳統勒索軟體的功能存在很大區別。具體來講，Petwrap並不會逐個對目標系統上的文件進行加密。

一旦完成感染，該病毒即會利用一條私鑰對目標計算機進行加密，且在系統解密之前該設備將無法正常使用。

Petwrap會重啟受害者的計算機並加密磁碟驅動器內的主文件表（簡稱MFT）並渲染主引導記錄（簡稱MBR），進而通過佔用物理磁碟上的文件名、大小與位置信息以限制用戶對完整系統的正常訪問。其中Petwrap替換的MBR代碼中包含贖金說明。

根據Twitter上發布的最新感染截屏內容來看，該勒索軟體會顯示以下文本，要求用戶支付價值300美元的比特幣以解密自己的系統。具體內容為：

「如果你看到這段文本，那麼您的文件已經因為被加密而無法訪問。也許你正忙於尋求恢復文件的方法，但請別浪費自己的時間，沒人能在我們不提供解密服務的情況下恢復你的文件。」

本文系E安全獨家報道

已有27人向Petrwrap攻擊者支付贖金

在受感染用戶支付贖金後，將比特幣錢包與個人ID發送至指定的Posteo郵件地址進行解密。截至E安全編譯本文之時（北京時間2017年6月28日01:00），區塊鏈記錄顯示目標錢包「1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX」已經完成了27筆交易售，收入2.9個比特幣，總金額約人民幣50000元。目前尚不清楚付款之後，受害者的系統是否已經得到成功解密。

本文系E安全獨家報道

此次勒索病毒攻擊影響匯總：

能源企業

Petwrap勒索軟體已經在過去幾小時內感染了俄羅斯國有石油巨頭Rosneft公司以及烏克蘭國家電力供應商Kyivenergo與Ukrenergo公司。

本文系E安全獨家報道

Kyivenergo公司新聞社確認稱，「我們受到攻擊，並在兩小時前被迫關閉了全部計算機。我們正在等待烏克蘭安全局（簡稱SBU）的許可以重新啟動這些計算設備。」

銀行與金融機構

根據各相關銀行發布的報告，本次受到Petwrap勒索軟體攻擊影響的包括烏克蘭國家銀行（簡稱NBU）、奧沙巴銀行以及其它多家企業。

烏克蘭最大的國有貸款機構之一 ——國家儲蓄銀行（Oschadbank）稱，部分銀行服務受到「黑客攻擊」影響，全國3650網點和2850 ATM受到影響，民眾無法取錢，但客戶數據目前尚且安全。

電信企業

Kyivstar、LifeCell以及Ukrtelecom三家烏克蘭電信運營商亦在最新一輪Petwrap攻擊當中受到影響。

其它企業

國際物流公司馬士基已經在其Twitter上確認稱，本輪最新Petwrap攻擊已經導致其位於多個地點及業務部門的IT系統被迫關閉。

該公司指出，「我們可以確認，目前馬士基公司旗下位於多個地點及業務部門的IT系統皆處於關閉狀態。我們目前正在對事態進行申報。保障員工安全、正常運營以及客戶業務是我們的首要職責。我們將在掌握更多信息時及時發布更新。」

此勒索軟體還影響到在採礦企業Evraz公司烏克蘭分公司下轄之多座工作站。

根據相關報告，在本輪攻擊中受損最為嚴重的包括烏克蘭當地地鐵以及位於基輔的鮑里斯皮爾機場。

政府

根據Twitter網友曬出的截圖顯示，稱目前烏克蘭所有政府機關的電腦都因病毒攻擊成黑屏狀態：

本文系E安全獨家報道

另外，此輪勒索病毒攻擊的起源仍不明朗，但烏克蘭電力公司遭遇感染引發了人們對於俄羅斯方面的懷疑。烏克蘭電網曾於2015年12月遭受持續性高複雜度攻擊，且業界普遍認定幕後黑手為俄羅斯。該次攻擊最終導致烏克蘭23萬名居民在長達六個小時之內無電可用。

烏克蘭本身則選擇以幽默的態度作出響應。就在本次攻擊事件曝光後不久，烏克蘭政府即通過其官方Twitter帳戶提醒民眾不要驚慌，同時還附上一張漫畫表情。

為什麼Petrwrap勒索病毒的傳播速度如此之快？

目前，還不確定Petrwrap快速傳播的原因是什麼。但據反病毒公司Avira、賽門鐵克和一些安全公司也在推特上發文稱，這款新型勒索軟體利用了與WannaCry相同的「永恆之藍」安全漏洞，意味著其同樣能夠在被感染系統之間迅速傳播。

本文系E安全獨家報道

「永恆之藍」安全漏洞於今年4月由影子經紀人組織正式公布，主要影響Windows系統當中的SMB文件共享系統，且業界普遍認定此漏洞由美國國安局所發現並掌握。

微軟已經在其所有Windows版本當中修復了這項底層漏洞，但仍有相當一部分未及時進行更新的用戶可能受到攻擊，且目前已經有多種惡意軟體變種利用此項漏洞進行勒索軟體傳播或者加密貨幣採礦。

最後也是最令人驚訝的是，儘管WannaCry已經在世界範圍內受到廣泛關注且解決方案早已出爐，但目前相當一部分企業甚至是大型企業仍然沒有為此採取適當的安全措施。

安全提示：如何保護自己免受勒索軟體攻擊

安裝「永恆之藍」修復補丁（MS17-010）

E安全建議您馬上安裝微軟公司發布的「永恆之藍」修復補丁（MS17-010），E安全目前已經將部分Windows版本的獨立安全更新包找到了對應的下載地址。請各位讀者直接按照您自己的實際Windows版本下載對應的安全更新包安裝，如果版本不對應的話安裝會系統提示不適用之類。

面向Windows XP SP2的修復更新KB4012598：

64位版Windows XP Service Pack 2：x64_f24d8723f246145524b9030e4752c96430981211.exe

面向Windows XP SP3的修復更新KB4012598：

32位版Windows XP Service Pack 3：WindowsXP-KB4012598-x86-Embedded-Custom-CHS.exe

註：該版本確實是微軟提供給SP3的但也確實發錯了，眾多用戶遭遇到了無法正常安裝的情況。

面向Windows Server 2003的修復更新KB4012598：

64位版Windows Server 2003：WindowsServer2003-KB4012598-x86-custom-CHS.exe

面向Windows Vista的修復更新KB4012598：

64位版Windows Vista：kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

32位版Windows Vista：kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

面向Windows 7的修復更新KB4012212：

64位版Windows 7：kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

32位版Windows 7：kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

面向Windows 8的修復更新KB4012598：

64位版Windows 8：kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

32位版Windows 8：kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

面向Windows 8.1的修復更新KB4012598：

64位版Windows 8.1：kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu

32位版Windows 8.1：kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

面向Windows 10的修復更新KB4012606：

64位版Windows 10：windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

32位版Windows 10：windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

面向Windows 10的Windows SMB修復更新：

請點擊開始菜單—小齒輪（設置）—更新與安全—Windows Update—檢查更新—提示無更新說明已經安裝了。

Windows 10 Version 1703版對此漏洞免疫，因此使用該版本的用戶不需要進行任何操作比如關閉埠。

免疫指的是已經封堵了445埠漏洞因此無需操作，如果你手抖自己運行病毒那麼抱歉全部給你加密了。

安恆信息「永恆之藍」勒索病毒應急包匯總：

http://www.dbappsecurity.com.cn/%E5%AE%89%E6%81%92%E4%BF%A1%E6%81%AF%E5%85%B3%E4%BA%8E%E6%9C%80%E6%96%B0%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E5%AE%89%E5%85%A8%E5%A4%84%E7%BD%AE%E5%B7%A5%E5%85%B7%E9%9B%86.rar

關閉SMB服務

E安全建議使用SMB服務的企業應開啟防火牆，並為需要從外部訪問內部網路網路的用戶設置VPN訪問。企業應詳細羅列網路上的軟體和設備，並提供識別並部署補丁的程序。當攻擊者迅速從補丁轉移到漏洞利用時，這些措施將尤為重要。

不要輕易打開未知郵件中的附件和鏈接

為了防止任何勒索軟體感染問題，您還應以謹慎的態度對待一切通過郵件發來的不必要文件與文檔，且除非確認來源正常，否則千萬不要點擊其中的任何鏈接。

備份！備份！備份！

重要的事說三遍！請始終嚴格保護您寶貴的數據，包括採取良好的備份措施，並將數據複製至不會始終接入您PC的外部存儲設備。

再有，請確保在您的系統之上運行效果良好的反病毒安全套件並保持更新。最重要的是，請始終以安全方式瀏覽互聯網。

投保網路信息安全綜合險

6月26日，國內安全企業安恆信息與國內首家互聯網保險公司眾安保險聯合推出國內首款網路信息安全綜合保險，這款產品是針對國內政府、企事業單位等組織機構網路安全風險防範及補救的較為完整的保險解決方案。投保用戶可根據自己的實際情況選擇私人定製化的投保方案，保額最高達300萬，同時依託國內領先的信息安全服務團隊，有效地將用戶信息安全風險降到最低，並實現風險的轉移和控制。

E安全註：本文系E安全獨家報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！