從誕生到變種，Petya是如何利用「永恆之藍」的？

2017年6月27日，美國、歐洲及俄羅斯等國家再度遭受了大規模的勒索病毒攻擊，甚至連烏克蘭政府機關都遭到了嚴重入侵，威脅還可能覆蓋了核子設施。

電腦專家表示，此次病毒是Petya的變種，目前由資安公司Bitdefender識別為GoldenEye，其運作方式就如同上次的WannaCry攻擊一樣，要求所有人支付300美元的比特幣以重新獲得存取權，且很難被追蹤。

2017年6月29日，因為新勒索病毒的散發者考慮不周，他在所有的勒索中都使用同一個匯款賬戶，導致該賬戶遭到有關部門追查，勒索也就此告一段落。

Petya從誕生到變種

2016年上半年，一種修改MBR並加密MFT (Master File Table)的程序，破壞力極強的勒索病毒誕生，正是Petya。

2016年下半年，其始作俑者在2016年下半年作品名為GoldenEye，是Petya的變種。於2017年6月開始流行的勒索程序類似於GoldenEye，因此也被識別為GoldenEye。不過卡巴斯基實驗室研究人員對此表示質疑，這次攻擊與Petya的特徵並不完全相同。目前業界測試 61個防毒解決方案，只有4個成功辨識了此病毒。

該病毒採用CVE-2017-0199漏洞的RTF格式附件進行郵件投放，之後釋放Downloader來獲取病毒母體，形成初始擴散節點，之後通過MS17-010漏洞和系統弱口令進行傳播。

初步分析，其可能具有感染域控制器後提取域內機器口令的能力，因此其對內網具有一定的穿透能力，對內網安全總體上比此前受到廣泛關注的WannaCry有更大的威脅，而多種傳播手段組合的模式必將成為勒索軟體傳播的常態模式。

雖未到上次WannaCry的強度，但是英、美、法、德都有超過2000台電腦遭到感染，烏克蘭國家銀行及電力公司都中招。受害人想解鎖硬碟需支付價值300美元的比特幣，已有32名受害者付費，總值大約6775美元。

MS17-010？或許永恆之藍這個名字你更熟悉

和WannaCry一樣，變種Petya也是使用了NSA根據Windows SMBv1協議漏洞（MS17-010）製造出的「永恆之藍」。

賽門鐵克（Symantec）資安公司的研究人員表示，此次攻擊雖然仍使用了與WannaCry的永恆之藍漏洞，然而這樣的駭客工具在去年4月已經被洩漏出數十種，並散播在網路上。

原始的SMBv1協議已存在了近30年，和許多80年代的軟體一樣，其是在沒有惡意攻擊者、沒有太多重要數據，電腦使用量也不高的背景下開發出來的，因而早已無法勝任當今網路環境下的應用部署。而且近幾代的Windows都已經不再使用SMBv1協議了，如Vista已升級到SMBv2，之後版本則升級為SMBv3。

不過迄今為止，大量的電腦，尤其是企業辦公用電腦沒有升級，也就意味著這些機器依然再使用SMBv1。Radware安全副總裁Carl Herberger則指出，一個組織的官僚程度越高，它越不會更新其軟體。

資安公司Armor研究員Chris Hinkley則表示，Petya的攻擊可會加密和鎖定整個硬碟，而不是像之前鎖定個別文件，會更加麻煩。

勒索結束了，病毒卻沒有

這款變種Petya遠不如WannaCry瘋狂，上文已經提到了，勒索賬戶已經被相關部門封鎖，以至於攻擊者的勒索失去了意義。隨後，確實也沒有在發生變種Petya勒索事件。

攻擊者是結束了，但是這並不意味著攻擊手段結束。

芬蘭資安公司F-Secure研究人員指出，此次病毒可能還有其他通道可以傳播，對於某些通道來說，就算已經更新電腦恐怕還是會有危險。

從數據來看，中國即使擁有7億的聯網用戶，但是WannaCry僅僅造成了小規模的攻擊，Petya則更少，近乎為0。

不過仍需要保持Windows更新，防患於未然才是最好的解決辦法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！