近日，多國(guó)網(wǎng)絡(luò)遭新勒索病毒襲擊。據(jù)分析，新病毒與“想哭”同樣利用了黑客工具“永恒之藍(lán)”。圖為受感染電腦屏幕截圖

掃碼關(guān)注外事兒即刻掌握全球

據(jù)新華社電 全球多個(gè)國(guó)家的網(wǎng)絡(luò)27日遭新一輪勒索病毒攻擊。烏克蘭受害嚴(yán)重，其政府部門(mén)、國(guó)有企業(yè)相繼“中招”。據(jù)西方媒體報(bào)道，有研究人員發(fā)現(xiàn)，與上月的“想哭”勒索病毒相似，新勒索軟件同樣利用了遭泄密的美國(guó)國(guó)家安全局網(wǎng)絡(luò)的黑客工具“永恒之藍(lán)”。

波及多國(guó)

烏克蘭首當(dāng)其沖 隨后蔓延至歐洲北美

美聯(lián)社報(bào)道，27日出現(xiàn)的勒索病毒看似最先攻擊烏克蘭，隨后蔓延至歐洲、北美地區(qū)多個(gè)國(guó)家。

據(jù)西方媒體報(bào)道，受影響的全球大公司包括：俄羅斯石油公司、丹麥航運(yùn)與石油集團(tuán)馬士基、英國(guó)傳播服務(wù)集團(tuán)WPP、荷蘭TNT國(guó)際快遞公司、美國(guó)制藥公司默克、美國(guó)食品業(yè)集團(tuán)億滋國(guó)際、美國(guó)歐華律師事務(wù)所等。

俄羅斯網(wǎng)絡(luò)安全公司Group-IB說(shuō)，烏克蘭和俄羅斯境內(nèi)已有超過(guò)80家公司受影響。勒索軟件侵入電腦后，將文件加密鎖定，要求受害者支付價(jià)值300美元的比特幣才能解鎖文件。

另?yè)?jù)俄網(wǎng)絡(luò)安全公司卡巴斯基實(shí)驗(yàn)室初步調(diào)查顯示，該勒索軟件當(dāng)天已實(shí)施約2000次攻擊，90%以上在烏克蘭和俄羅斯，波蘭、意大利、德國(guó)、法國(guó)、英國(guó)、美國(guó)也受害。

俄羅斯石油公司證實(shí)，其網(wǎng)絡(luò)服務(wù)器當(dāng)天遭遇了一次“強(qiáng)力”攻擊，但多虧其“備用系統(tǒng)”，公司的石油生產(chǎn)和開(kāi)采并未中斷。

美聯(lián)社報(bào)道，該勒索軟件的蔓延速度看似呈逐漸放緩趨勢(shì)，部分原因可能是該軟件需要通過(guò)電腦系統(tǒng)“直接接觸”傳播，在與烏克蘭網(wǎng)絡(luò)關(guān)聯(lián)較少的地區(qū)，其傳播受限。另?yè)?jù)路透社，已有30多名受害者支付了比特幣贖金。

受害嚴(yán)重

切爾諾貝利隔離區(qū)監(jiān)測(cè)系統(tǒng)被迫“下線”

據(jù)西方媒體報(bào)道，烏克蘭高級(jí)別政府部門(mén)、中央銀行、國(guó)家電力公司、首都基輔的機(jī)場(chǎng)、切爾諾貝利核事故隔離區(qū)監(jiān)測(cè)系統(tǒng)、烏克蘭地鐵、烏克蘭電信公司、飛機(jī)制造商安東諾夫公司及一些商業(yè)銀行、能源公司、自動(dòng)提款機(jī)、加油站、大型超市均受影響。

切爾諾貝利核事故隔離區(qū)輻射監(jiān)測(cè)系統(tǒng)被迫“下線”。隔離區(qū)管理局說(shuō)，工作人員手持儀器人工監(jiān)測(cè)輻射情況，“幾十年前就是這樣做”。

烏克蘭中央銀行在一份聲明中說(shuō)，受網(wǎng)絡(luò)襲擊影響，“一些烏克蘭銀行的業(yè)務(wù)、客戶服務(wù)正遭遇困難”。

烏克蘭總理弗拉基米爾·格羅伊斯曼在社交網(wǎng)站臉書(shū)上說(shuō)，這樣的網(wǎng)絡(luò)襲擊在烏克蘭“史無(wú)前例”，但他稱該國(guó)“重要系統(tǒng)未受影響”。

何種病毒

新病毒或?yàn)橐阎《綪etya變體

上月12日，名為“想哭”的勒索病毒席卷全球約150個(gè)國(guó)家、實(shí)施超過(guò)20萬(wàn)次攻擊，影響政府部門(mén)、公共交通、醫(yī)療、郵政、通信等領(lǐng)域。受害者被要求限期支付價(jià)值300美元的比特幣以換取文件解鎖，否則贖金上漲?！跋肟蕖避浖L(fēng)波在較短時(shí)間內(nèi)平息。

目前，新一輪勒索病毒的來(lái)源、傳播途徑及其背后動(dòng)機(jī)還不清楚。

Group-IB公司和一些網(wǎng)絡(luò)安全專家說(shuō)，新勒索軟件看似是去年出現(xiàn)的Petya勒索軟件變體。但卡巴斯基實(shí)驗(yàn)室說(shuō)，這是一款“從沒(méi)見(jiàn)過(guò)的”新型勒索軟件。

微軟公司發(fā)言人說(shuō)，正調(diào)查這起網(wǎng)絡(luò)襲擊，將采取妥善措施保護(hù)用戶，并稱微軟公司的殺毒軟件能夠發(fā)現(xiàn)并刪除該勒索軟件。

美國(guó)白宮國(guó)家安全委員會(huì)在一份聲明中說(shuō)，美政府機(jī)構(gòu)正調(diào)查這起事件，美國(guó)“決心對(duì)相關(guān)負(fù)責(zé)人追究責(zé)任”。美國(guó)國(guó)土安全部稱，正監(jiān)視這起網(wǎng)絡(luò)襲擊并與其他國(guó)家協(xié)調(diào)配合；建議受害者不要支付贖金，因?yàn)榧词垢读粟H金，也不一定能保證文件恢復(fù)。

■ 對(duì)話

信息技術(shù)專家

勿輕易點(diǎn)開(kāi)陌生郵件

最新的勒索病毒是如何產(chǎn)生以及傳播的？會(huì)不會(huì)波及中國(guó)？對(duì)此，新京報(bào)咨詢了杭州安恒信息技術(shù)有限公司安全研究院院長(zhǎng)吳卓群。

新京報(bào)：新病毒與之前的“想哭（WannaCry）”勒索病毒有何不同？

吳卓群：首先，被攻擊的電腦受感染程度更深了。此前，“想哭”勒索病毒只會(huì)對(duì)文件進(jìn)行加密，受到攻擊的電腦可通過(guò)重啟的方式恢復(fù)系統(tǒng)。

這次的新病毒Petya除對(duì)計(jì)算機(jī)中的文件進(jìn)行加密之外，還對(duì)磁盤(pán)引導(dǎo)區(qū)做了加密處理。也就是說(shuō)，被感染的計(jì)算機(jī)重啟后也無(wú)法恢復(fù)系統(tǒng)，依然會(huì)看到告知支付贖金的界面。

而且，新病毒的病毒工具包中還裝有PsExec工具，可以對(duì)被感染電腦進(jìn)行遠(yuǎn)程操作，并通過(guò)一些root口令（超級(jí)管理員密碼），直接在其他計(jì)算機(jī)上執(zhí)行命令。

此外，病毒的攻擊方式也有所不同?！跋肟蕖崩账鞑《颈仨毷紫仍诨ヂ?lián)網(wǎng)傳播，再攻擊到內(nèi)網(wǎng)。在此基礎(chǔ)上，這次的新病毒可能還利用了RTF富文本格式的漏洞進(jìn)行攻擊。新病毒將RTF富文本格式作為攻擊的載體，將病毒通過(guò)電子郵件的方式發(fā)送到目標(biāo)人員的郵箱中。安全意識(shí)不高的人，在點(diǎn)擊了攜帶病毒的文件后，病毒就會(huì)到達(dá)內(nèi)網(wǎng)，接下來(lái)就會(huì)通過(guò)同“想哭”一樣的方式傳播，導(dǎo)致內(nèi)網(wǎng)大量的感染。

新京報(bào)：為何會(huì)在短時(shí)間內(nèi)出現(xiàn)兩次全球范圍網(wǎng)絡(luò)襲擊？

吳卓群：就目前的情況來(lái)看，兩次勒索病毒襲擊都利用了“永恒之藍(lán)”漏洞，通過(guò)這個(gè)漏洞，病毒的傳播非常方便。雖然針對(duì)“永恒之藍(lán)”漏洞的補(bǔ)丁早就出現(xiàn)，但依然有很多計(jì)算機(jī)沒(méi)有及時(shí)打補(bǔ)丁。

我們可以看到，兩次病毒襲擊的攻擊對(duì)象都是政府機(jī)構(gòu)、大型企業(yè)等內(nèi)網(wǎng)。通常情況下，內(nèi)網(wǎng)與外網(wǎng)是隔離狀態(tài)，防范能力相對(duì)較弱。

而且，這次病毒攻擊是有目的性的，應(yīng)該是特定人員對(duì)特定目標(biāo)進(jìn)行了投遞，比如給特定人員發(fā)送了郵件，才會(huì)受到感染。根據(jù)目前的情況判斷，新病毒的投遞目標(biāo)不在中國(guó)。

新京報(bào)：該如何應(yīng)對(duì)這次勒索病毒襲擊？

吳卓群：由于勒索者公布的郵箱已被查封，因此，現(xiàn)在即使交付了勒索金，也無(wú)法收取恢復(fù)系統(tǒng)的秘鑰，所以必須從防范病毒感染的角度入手。

首先要修復(fù)“永恒之藍(lán)”漏洞。國(guó)內(nèi)大部分暴露在互聯(lián)網(wǎng)上的服務(wù)器都打過(guò)補(bǔ)丁，但很多內(nèi)網(wǎng)的計(jì)算機(jī)還沒(méi)有打。對(duì)于打過(guò)補(bǔ)丁的電腦而言，病毒很難進(jìn)行遠(yuǎn)程直接攻擊。

由于新病毒主要通過(guò)郵件進(jìn)行投遞，修復(fù)了漏洞的計(jì)算機(jī)仍然有可能感染病毒。對(duì)于收到的惡意郵件或不確定來(lái)源的郵件，盡量不要打開(kāi)。

新京報(bào)記者 池喬寧

■ 分析

不止加密文檔 新病毒還改寫(xiě)加密主引導(dǎo)區(qū)

針對(duì)全球多國(guó)27日再次遭受大規(guī)模勒索病毒攻擊事件，美國(guó)信息安全公司賽門(mén)鐵克和火眼當(dāng)天說(shuō)，與前不久襲擊全球的“想哭”勒索病毒類似，最新勒索病毒也利用了美國(guó)國(guó)家安全局網(wǎng)絡(luò)武器庫(kù)的黑客工具“永恒之藍(lán)”。

賽門(mén)鐵克公司安全響應(yīng)團(tuán)隊(duì)說(shuō)，最新勒索病毒是已知病毒Petya的一個(gè)變種，該病毒自2016年以來(lái)就存在。不同于普通勒索病毒，Petya病毒不僅給中招電腦的文檔加密，還改寫(xiě)和加密電腦主引導(dǎo)記錄。主引導(dǎo)記錄是指電腦開(kāi)機(jī)后系統(tǒng)訪問(wèn)硬盤(pán)時(shí)必須要讀取的首個(gè)扇區(qū)。

最新Petya病毒爆發(fā)后也迅速傳播，影響廣泛。賽門(mén)鐵克研究人員說(shuō)，最新勒索軟件的一個(gè)傳播方式是利用“永恒之藍(lán)”黑客工具入侵系統(tǒng)，這與“想哭”勒索病毒的傳播方式相似。研究人員還在分析最新Petya病毒的其他傳播方式。

火眼公司安全人員也在博客中說(shuō)，初步分析，Petya勒索病毒最新變種可能是利用“永恒之藍(lán)”傳播。

“永恒之藍(lán)”是美國(guó)國(guó)家安全局基于微軟“視窗”操作系統(tǒng)一個(gè)安全漏洞開(kāi)發(fā)的黑客工具，可用以侵入存在這一安全漏洞的電腦系統(tǒng)。黑客組織“影子經(jīng)紀(jì)人”從國(guó)安局的網(wǎng)絡(luò)武器庫(kù)中盜取了包括“永恒之藍(lán)”在內(nèi)的一批黑客工具，并于今年4月在網(wǎng)上公布。5月份大肆傳播的“想哭”病毒就利用這一工具，有媒體稱這是美國(guó)安局網(wǎng)絡(luò)武器被“民用化”的首例。