与WannaCryptor相似的新勒索病毒攻击全球:网民须知

最新消息(中欧标准时间6月28日15:00时):ESET研究人员已确认,后续染毒系统通过VPN访问乌克兰网络。目前尚无迹象表明,该恶意软件具有向局域网之外传播的内在机制。

最新消息(中欧标准时间6月27日23:34时):关闭计算机、不再开机能够防范硬盘被加密,但主引导记录被覆盖后,可能已有部分文件被加密,并尝试借助网站进一步传播病毒。

最新消息(中欧标准时间6月27日22:28时):由于运营商已关闭发送比特币钱包帐户的电邮地址以及个人安装密钥,现已无法向勒索者付款。鉴此,受害者切勿缴纳赎金,因为已无法获取解密密钥。

最新消息(中欧标准时间6月27日21:20时):ESET研究人员已找到此次全球性病毒大爆发的源头。攻击者已成功渗透会计电算化软件M.E.Doc,一款在乌克兰境内各行各业广泛使用的电算化软件,含金融机构在内。有几家公司执行了已被植入木马的M.E.Doc更新程序,使攻击者能够在今日发起大规模勒索病毒攻击,并迅速席卷乌克兰全境及世界各地。今天,M.E.Doc开发商已在其官网发表了预警公告。

社交网站上频现乌克兰遭受新勒索病毒攻击的大量报道,据信该勒索病毒与Petya病毒家族有关(后续认定,目前ESET检测为Win32/Diskcoder.C木马)。一旦其成功感染主引导记录,便会加密整个硬盘。否则会加密全部文件,与Mischa如出一辙。

传播机制方面,该勒索病毒采用了综合手法,首先像WannaCryptor那样,利用服务器信息块漏洞(永恒之蓝)渗透进网络,然后借助PsExec在网络内部肆意传播。

运用这一极度危险的综合机制,很可能是继近期勒索病毒大爆发、成为新闻媒体头条之后,虽然多数计算机可能已打补丁,但该病毒爆发后仍能全球性传播的原因所在。成功渗透进网络,只需借助一台未打补丁的计算机即可。此后,该病毒便会接管管理员权限,并向其他计算机传播。

记者Christian Borys等人在Twitter中称,此次网络攻击疑似已令银行、电力和邮政公司等企业蒙受损失。此外,政府机关也沦为受攻击对象。Borys还在推文中刊出,由乌克兰副总理Pavlo Rozenko在Facebook上发布的一幅截图,显示某台计算机明显已被加密。

乌克兰国家银行也在其官网上发布了一则信息,警告其他银行可能遭遇勒索病毒攻击。

该信息称:“目前,金融行业已加强安全措施,遏制黑客针对金融市场全体参与者展开攻击。”

福布斯称,虽然该勒索病毒与WannaCryptor具有相似之处 – 但仍有人表示该病毒只是借助了WannaCry的渗透机制 – 本身很可能是Petya的变种。

据报道,与WannaCryptor受害者所见到的一幅相类似画面之中,刊登了勒索病毒借助网络传播的敲诈信息。由Group-IB小组发布的一张截图中显示的敲诈信息如下:

“看到此提示之时,你的文件已无法继续访问,因为它们均已被加密…我们保证,你可以安全、轻松地恢复你的所有文件。只需汇款(300美元比特币),购买解密密钥即可解密。”:

然而,有发言人称:“并未对电力供应造成影响”,虽然目前确定这一点为时尚早。

该勒索病毒攻击并非仅限于乌克兰境内。据《独立报》称,西班牙和印度可能已受到影响,同时丹麦海运公司Maersk以及英国广告公司WPP也已蒙受损失。

后者的主页上,刊登了以下公告:“WPP网站因重要常规维护目前无法使用,服务不久后将会恢复正常。

“我们对此给您造成的不便深感歉意。在此期间,如您希望联络WPP,请按照以下地址电邮网站编辑…”

WPP此后在推特上确认已遭受病毒攻击:“多家WPP分公司的IT系统,遭受了疑似网络攻击。我们正在采取适当措施,并将尽快公布最新进展。”

另有报道称,公司正准备付款以解决攻击问题,具体可参考此处的比特币地址链接。 

有关Petya的详细说明,请查阅2016年发布的这篇颇具洞察力文章,其中论述了这一文件加密类勒索病毒的特点:

Petya运用了与其他文件加密类勒索病毒所不同的攻击手段,目标不是逐一加密用户文档,而是针对文件系统。.

“攻击目标是受害者计算机的主引导记录(MBR),后者是开机后,负责加载操作系统的组件。”

为便于您防范此类威胁,我们建议您:

1. 时常让系统获取完全修补程式(Patch);

2. 使用正规防毒软件

3. 管理工作站和服务器时,勿使用相同的帐户/密码;

4. 禁用默认ADMIN$或系统管理级共享通讯功能 – 用户可使用ESET Smart Security家庭版以及ESET Endpoint Security 6+商业版完成此项设置,这些软件都具备网络攻击防护功能(选项:入侵检测系统和高级选项>允许服务器信息块中的系统管理级共享功能进站连接);

5. 尽可能禁用SMB1 – 无法识别SMB2+的XP和2003系统中所存在的问题。

本文为即时发布资讯,将随后续信息更新。