近日，多國網(wǎng)絡(luò)遭新勒索病毒襲擊。據(jù)分析，新病毒與“想哭”同樣利用了黑客工具“永恒之藍”。圖為受感染電腦屏幕截圖

掃碼關(guān)注外事兒即刻掌握全球

據(jù)新華社電 全球多個國家的網(wǎng)絡(luò)27日遭新一輪勒索病毒攻擊。烏克蘭受害嚴重，其政府部門、國有企業(yè)相繼“中招”。據(jù)西方媒體報道，有研究人員發(fā)現(xiàn)，與上月的“想哭”勒索病毒相似，新勒索軟件同樣利用了遭泄密的美國國家安全局網(wǎng)絡(luò)的黑客工具“永恒之藍”。

波及多國

烏克蘭首當其沖 隨后蔓延至歐洲北美

美聯(lián)社報道，27日出現(xiàn)的勒索病毒看似最先攻擊烏克蘭，隨后蔓延至歐洲、北美地區(qū)多個國家。

據(jù)西方媒體報道，受影響的全球大公司包括：俄羅斯石油公司、丹麥航運與石油集團馬士基、英國傳播服務集團WPP、荷蘭TNT國際快遞公司、美國制藥公司默克、美國食品業(yè)集團億滋國際、美國歐華律師事務所等。

俄羅斯網(wǎng)絡(luò)安全公司Group-IB說，烏克蘭和俄羅斯境內(nèi)已有超過80家公司受影響。勒索軟件侵入電腦后，將文件加密鎖定，要求受害者支付價值300美元的比特幣才能解鎖文件。

另據(jù)俄網(wǎng)絡(luò)安全公司卡巴斯基實驗室初步調(diào)查顯示，該勒索軟件當天已實施約2000次攻擊，90%以上在烏克蘭和俄羅斯，波蘭、意大利、德國、法國、英國、美國也受害。

俄羅斯石油公司證實，其網(wǎng)絡(luò)服務器當天遭遇了一次“強力”攻擊，但多虧其“備用系統(tǒng)”，公司的石油生產(chǎn)和開采并未中斷。

美聯(lián)社報道，該勒索軟件的蔓延速度看似呈逐漸放緩趨勢，部分原因可能是該軟件需要通過電腦系統(tǒng)“直接接觸”傳播，在與烏克蘭網(wǎng)絡(luò)關(guān)聯(lián)較少的地區(qū)，其傳播受限。另據(jù)路透社，已有30多名受害者支付了比特幣贖金。

受害嚴重

切爾諾貝利隔離區(qū)監(jiān)測系統(tǒng)被迫“下線”

據(jù)西方媒體報道，烏克蘭高級別政府部門、中央銀行、國家電力公司、首都基輔的機場、切爾諾貝利核事故隔離區(qū)監(jiān)測系統(tǒng)、烏克蘭地鐵、烏克蘭電信公司、飛機制造商安東諾夫公司及一些商業(yè)銀行、能源公司、自動提款機、加油站、大型超市均受影響。

切爾諾貝利核事故隔離區(qū)輻射監(jiān)測系統(tǒng)被迫“下線”。隔離區(qū)管理局說，工作人員手持儀器人工監(jiān)測輻射情況，“幾十年前就是這樣做”。

烏克蘭中央銀行在一份聲明中說，受網(wǎng)絡(luò)襲擊影響，“一些烏克蘭銀行的業(yè)務、客戶服務正遭遇困難”。

烏克蘭總理弗拉基米爾·格羅伊斯曼在社交網(wǎng)站臉書上說，這樣的網(wǎng)絡(luò)襲擊在烏克蘭“史無前例”，但他稱該國“重要系統(tǒng)未受影響”。

何種病毒

新病毒或為已知病毒Petya變體

上月12日，名為“想哭”的勒索病毒席卷全球約150個國家、實施超過20萬次攻擊，影響政府部門、公共交通、醫(yī)療、郵政、通信等領(lǐng)域。受害者被要求限期支付價值300美元的比特幣以換取文件解鎖，否則贖金上漲?！跋肟蕖避浖L波在較短時間內(nèi)平息。

目前，新一輪勒索病毒的來源、傳播途徑及其背后動機還不清楚。

Group-IB公司和一些網(wǎng)絡(luò)安全專家說，新勒索軟件看似是去年出現(xiàn)的Petya勒索軟件變體。但卡巴斯基實驗室說，這是一款“從沒見過的”新型勒索軟件。

微軟公司發(fā)言人說，正調(diào)查這起網(wǎng)絡(luò)襲擊，將采取妥善措施保護用戶，并稱微軟公司的殺毒軟件能夠發(fā)現(xiàn)并刪除該勒索軟件。

美國白宮國家安全委員會在一份聲明中說，美政府機構(gòu)正調(diào)查這起事件，美國“決心對相關(guān)負責人追究責任”。美國國土安全部稱，正監(jiān)視這起網(wǎng)絡(luò)襲擊并與其他國家協(xié)調(diào)配合；建議受害者不要支付贖金，因為即使付了贖金，也不一定能保證文件恢復。

■ 對話

信息技術(shù)專家

勿輕易點開陌生郵件

最新的勒索病毒是如何產(chǎn)生以及傳播的？會不會波及中國？對此，新京報咨詢了杭州安恒信息技術(shù)有限公司安全研究院院長吳卓群。

新京報：新病毒與之前的“想哭（WannaCry）”勒索病毒有何不同？

吳卓群：首先，被攻擊的電腦受感染程度更深了。此前，“想哭”勒索病毒只會對文件進行加密，受到攻擊的電腦可通過重啟的方式恢復系統(tǒng)。

這次的新病毒Petya除對計算機中的文件進行加密之外，還對磁盤引導區(qū)做了加密處理。也就是說，被感染的計算機重啟后也無法恢復系統(tǒng)，依然會看到告知支付贖金的界面。

而且，新病毒的病毒工具包中還裝有PsExec工具，可以對被感染電腦進行遠程操作，并通過一些root口令（超級管理員密碼），直接在其他計算機上執(zhí)行命令。

此外，病毒的攻擊方式也有所不同。“想哭”勒索病毒必須首先在互聯(lián)網(wǎng)傳播，再攻擊到內(nèi)網(wǎng)。在此基礎(chǔ)上，這次的新病毒可能還利用了RTF富文本格式的漏洞進行攻擊。新病毒將RTF富文本格式作為攻擊的載體，將病毒通過電子郵件的方式發(fā)送到目標人員的郵箱中。安全意識不高的人，在點擊了攜帶病毒的文件后，病毒就會到達內(nèi)網(wǎng)，接下來就會通過同“想哭”一樣的方式傳播，導致內(nèi)網(wǎng)大量的感染。

新京報：為何會在短時間內(nèi)出現(xiàn)兩次全球范圍網(wǎng)絡(luò)襲擊？

吳卓群：就目前的情況來看，兩次勒索病毒襲擊都利用了“永恒之藍”漏洞，通過這個漏洞，病毒的傳播非常方便。雖然針對“永恒之藍”漏洞的補丁早就出現(xiàn)，但依然有很多計算機沒有及時打補丁。

我們可以看到，兩次病毒襲擊的攻擊對象都是政府機構(gòu)、大型企業(yè)等內(nèi)網(wǎng)。通常情況下，內(nèi)網(wǎng)與外網(wǎng)是隔離狀態(tài)，防范能力相對較弱。

而且，這次病毒攻擊是有目的性的，應該是特定人員對特定目標進行了投遞，比如給特定人員發(fā)送了郵件，才會受到感染。根據(jù)目前的情況判斷，新病毒的投遞目標不在中國。

新京報：該如何應對這次勒索病毒襲擊？

吳卓群：由于勒索者公布的郵箱已被查封，因此，現(xiàn)在即使交付了勒索金，也無法收取恢復系統(tǒng)的秘鑰，所以必須從防范病毒感染的角度入手。

首先要修復“永恒之藍”漏洞。國內(nèi)大部分暴露在互聯(lián)網(wǎng)上的服務器都打過補丁，但很多內(nèi)網(wǎng)的計算機還沒有打。對于打過補丁的電腦而言，病毒很難進行遠程直接攻擊。

由于新病毒主要通過郵件進行投遞，修復了漏洞的計算機仍然有可能感染病毒。對于收到的惡意郵件或不確定來源的郵件，盡量不要打開。

新京報記者 池喬寧

■ 分析

不止加密文檔 新病毒還改寫加密主引導區(qū)

針對全球多國27日再次遭受大規(guī)模勒索病毒攻擊事件，美國信息安全公司賽門鐵克和火眼當天說，與前不久襲擊全球的“想哭”勒索病毒類似，最新勒索病毒也利用了美國國家安全局網(wǎng)絡(luò)武器庫的黑客工具“永恒之藍”。

賽門鐵克公司安全響應團隊說，最新勒索病毒是已知病毒Petya的一個變種，該病毒自2016年以來就存在。不同于普通勒索病毒，Petya病毒不僅給中招電腦的文檔加密，還改寫和加密電腦主引導記錄。主引導記錄是指電腦開機后系統(tǒng)訪問硬盤時必須要讀取的首個扇區(qū)。

最新Petya病毒爆發(fā)后也迅速傳播，影響廣泛。賽門鐵克研究人員說，最新勒索軟件的一個傳播方式是利用“永恒之藍”黑客工具入侵系統(tǒng)，這與“想哭”勒索病毒的傳播方式相似。研究人員還在分析最新Petya病毒的其他傳播方式。

火眼公司安全人員也在博客中說，初步分析，Petya勒索病毒最新變種可能是利用“永恒之藍”傳播。

“永恒之藍”是美國國家安全局基于微軟“視窗”操作系統(tǒng)一個安全漏洞開發(fā)的黑客工具，可用以侵入存在這一安全漏洞的電腦系統(tǒng)。黑客組織“影子經(jīng)紀人”從國安局的網(wǎng)絡(luò)武器庫中盜取了包括“永恒之藍”在內(nèi)的一批黑客工具，并于今年4月在網(wǎng)上公布。5月份大肆傳播的“想哭”病毒就利用這一工具，有媒體稱這是美國安局網(wǎng)絡(luò)武器被“民用化”的首例。