勒索恶意软件Petrwrap来袭:公用事业单位均受影响

近两日，一个全新的恶意勒索软件正在袭击欧洲各地的，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇勒索病毒袭击，政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

目前乌克兰的企业损失最为严重，乌克兰中央银行、当地地铁以及基辅的鲍里斯皮尔机场都遭到不同程度的破坏，乌克兰Ukrenego电力供应商系统也因此中断，尽管其发言人表示电力供应不受袭击的影响！

同时，丹麦航运公司马士基也报告了多个站点的系统遭遇破坏、法国和英国有用户报告被感染、该病毒甚至也已经到达了俄罗斯石油公司Rosnoft的服务器，虽然目前还不清楚发生了多少破坏。

据了解，此次黑客使用的是Petya勒索病毒的变种Petwarp，其使用的攻击方式和WannaCry相同。

Petrwrap本身似乎是一个直接的勒索程序，用户电脑一旦遭遇病毒感染，病毒就会将每台电脑加密成一个私钥，使其无法使用，直至系统被解密。

而和传统的勒索软件不同的是，Petya勒索病毒并不会对电脑中的所有文件统一加密，而是通过加密硬盘驱动器主文件表（MFT），使得主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名，大小和位置的信息来限制对完整系统的访问，从而导致电脑无法正常启动。

该勒索程序能够指示用户向静态Bitcoin地址支付$ 300，然后将比特币钱包和个人ID发送到Posteo电子邮件地址，要想恢复数据就必须支付价值相当于300美元的比特币。

截止昨晚零点时，根据块状记录显示已有9名受害者向该比特币账户做了汇款操作，但是否有人在付款后对自己的系统成功的进行了解密，目前并不清楚，不过按照这样目前的情形来看，Petya勒索病毒的影响可能还要超过WannaCry勒索病毒！

卡巴斯基实验室的安全研究人员将该病毒识别为Petrwrap，根据最近的VirusTotal扫描，61个防病毒服务中仅有4个成功的检测到病毒，目前对于该病毒的传播方式并不清楚，根据其与WannaCry的攻击方式相同的特点，有安全公司指出这种攻击是利用了Windows的SMB弱点。

今年4月时，黑客组织影子经纪人发布了一个名为EternalBlue的系统工具包，它利用了被美国国家安全局开发的一系列Windows漏洞，尽管后来微软已经对这些系统漏洞进行了修补，但仍有许多用户很容易受到攻击。

此外，经国内安全团队的监控数据，Petya勒索病毒在中国区最早的攻击发生在2017年06月27号早上，和很多传统勒索软件一样，其主要是通过邮箱的附件进行传播的。

由于Petya勒索病毒只会影响到还处于旧版 Windows 系统的 PC，因此笔者建议最好还是将自己的电脑系统升级到最新版本的 Windows7 SP1 或者 Windows 8.1、Windows10 系统，从而防止遭遇勒索病毒的袭击，并时刻注意将自己的重要数据进行异地备份，不要随意的下载和打开邮箱里的附件，尤其是陌生邮件！