北京時(shí)間 6 月 27 日晚間，歐洲遭到新一輪的未知病毒的沖擊，該病毒傳播方式與今年 5 月爆發(fā)的 WannaCry 病毒非常相似。

據(jù)雷鋒網(wǎng)宅客頻道了解，受影響最嚴(yán)重的國家是烏克蘭，而且已經(jīng)有國內(nèi)企業(yè)中招。此外，俄羅斯（俄羅斯石油公司 Rosneft）、西班牙、法國、英國（全球最大廣告公司 WPP ）、丹麥（航運(yùn)巨頭 AP Moller-Maersk）、印度、美國（律師事務(wù)所 DLA Piper）也受到不同程度的影響。

此前，國內(nèi)的安全公司已確認(rèn)該勒索病毒為 Petya 的變種，傳播方式與 WannaCry 類似，利用 EternalBlue（永恒之藍(lán)）和 OFFICE OLE 機(jī)制漏洞（CVE-2017-0199）進(jìn)行傳播。

不過，卡巴斯基實(shí)驗(yàn)室的分析人員表示，這種最新的威脅并不是之前報(bào)道中所稱的是一種 Petya 勒索軟件的變種，而是一種之前從未見過的全新勒索軟件。盡管這種勒索軟件同 Petya 在字符串上有所相似，但功能卻完全不同，并將其命名為 ExPetr 。

360 首席安全工程師鄭文彬稱，此次最新爆發(fā)的病毒具備了全自動(dòng)化的攻擊能力，即使電腦打齊補(bǔ)丁，也可能被內(nèi)網(wǎng)其他機(jī)器滲透感染。

根據(jù) 360 的威脅情報(bào)，有用戶收到帶有附件名為：“Order-20061017.doc“的郵件，該郵件附件為使用 CVE-2017-0199 漏洞的惡意文件，漏洞觸發(fā)后從“http ://french-cooking.com/myguy.exe”下載惡意程序執(zhí)行。外部威脅情報(bào)顯示，該勒索軟件就是由此惡意程序最早傳播。

據(jù)分析，病毒作者很可能入侵了烏克蘭的專用會(huì)計(jì)軟件 me-doc，來進(jìn)行最開始的傳播。他們將病毒程序偽裝成 me-doc 的升級(jí)程序給其用戶下發(fā)。

由于這是烏克蘭官方要求的報(bào)稅軟件，因此烏克蘭的大量基礎(chǔ)設(shè)施、政府、銀行、大型企業(yè)都受到攻擊，其他國家同烏克蘭有關(guān)聯(lián)的投資者和企業(yè)也收到攻擊，這展示了此次勒索病毒變種的一個(gè)針對性特征，針對有報(bào)稅需求的企業(yè)單位進(jìn)行攻擊也符合勒索病毒的牟利特點(diǎn)。

根據(jù) 360 安全中心監(jiān)測，此次國內(nèi)出現(xiàn)的勒索病毒新變種主要攻擊途徑是內(nèi)網(wǎng)滲透，也就是利用“管理員共享”功能攻擊內(nèi)網(wǎng)其他機(jī)器，相比已經(jīng)被廣泛重視的“永恒之藍(lán)”漏洞更具殺傷力。

據(jù)阿里云安全專家介紹，勒索病毒通過 Windows 漏洞進(jìn)行傳播，同時(shí)會(huì)感染局域網(wǎng)中的其它電腦。電腦感染勒索病毒后，會(huì)被加密特定類型文件，導(dǎo)致電腦無法正常運(yùn)行。而這種勒索病毒在內(nèi)網(wǎng)系統(tǒng)中，主要通過主要通過 Windows 管理體系結(jié)構(gòu)（Microsoft Windows Management Instrumentation），和 PSEXEC（SMB 協(xié)議）進(jìn)行擴(kuò)散。

該病毒會(huì)加密磁盤主引導(dǎo)記錄（MBR），導(dǎo)致系統(tǒng)被鎖死無法正常啟動(dòng)，然后在電腦屏幕上顯示勒索提示。如果未能成功破壞 MBR，病毒會(huì)進(jìn)一步加密文檔、視頻等磁盤文件。

阿里云在對病毒樣本進(jìn)行研究后發(fā)現(xiàn)，操作系統(tǒng)被感染后，重新啟動(dòng)時(shí)會(huì)造成無法進(jìn)入系統(tǒng)。下圖顯示的就是病毒偽裝的磁盤掃描程序。

　　而該病毒對勒索對象的加密，可以分為以下 7 個(gè)步驟：

根據(jù)安天方面的消息，該病毒的勒索模塊實(shí)際上是一個(gè) DLL 文件，該文件被加載后遍歷用戶磁盤文件（除 C:Windows 目錄下），并對指定后綴名的文件進(jìn)行加密，加密后不修改原文件名和擴(kuò)展名。該文件修改 MBR，同時(shí)，添加計(jì)劃任務(wù)，在等待一段時(shí)間后，關(guān)閉計(jì)算機(jī)。當(dāng)用戶開啟計(jì)算機(jī)時(shí)，會(huì)顯示勒索界面和信息并無法進(jìn)入系統(tǒng)。

據(jù)雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))宅客頻道了解，這次的新型勒索病毒變種，是利用系列漏洞進(jìn)行傳播的新勒索病毒家族。與 5 月爆發(fā)的 WannaCry 相比，新型勒索病毒變種的傳播速度更快。此次勒索病毒的主要特點(diǎn)有：

該勒索病毒使用了多種方式在內(nèi)網(wǎng)進(jìn)行攻擊傳播，包括使用了 NSA 的武器庫中的永恒之藍(lán)、永恒浪漫系列遠(yuǎn)程攻擊武器，以及利用內(nèi)網(wǎng)共享的方式傳播。因此不僅沒有及時(shí)修復(fù) NSA 武器庫漏洞的用戶會(huì)受影響，只要內(nèi)網(wǎng)中有其他用戶受到攻擊，已經(jīng)打了補(bǔ)丁的電腦也可能會(huì)受到攻擊。

此次的勒索病毒會(huì)導(dǎo)致電腦不可用。此前的 WannaCry 病毒僅會(huì)加密用戶文件，但是用戶的電腦仍暫時(shí)可用。此次的勒索病毒會(huì)感染用戶電腦的引導(dǎo)區(qū)，導(dǎo)致用戶電腦無法正常開機(jī)（強(qiáng)制顯示勒索信息）。

此外，該勒索病毒加密的文件類型相比 WannaCry 少，一共有65種，而 WannaCry 為 178 種（包括常見文件類型）。

目前，網(wǎng)絡(luò)管理員可通過，監(jiān)測相關(guān)域名/IP，攔截病毒下載，統(tǒng)計(jì)內(nèi)網(wǎng)感染分布：

84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
COFFEINOFFICE.XYZ
french-cooking.com

此外，還可以通過如下關(guān)鍵 HASH 排查內(nèi)網(wǎng)感染情況：

415fe69bf32634ca98fa07633f4118e1
0487382a4daf8eb9660f1c67e30f8b25
a1d5895f85751dfe67d19cccb51b051a
71b6a493388e7d0b40c83ce903bc6b04

目前，包括 360、騰訊、阿里云、安天在內(nèi)的各大安全廠商已經(jīng)推出了初步的解決方案，詳見雷鋒網(wǎng)文章《應(yīng)急指南｜新一輪勒索病毒來襲，小白用戶看這里》。

以下是針對受害者的初步建議：

目前勒索者使用的郵箱已經(jīng)停止訪問，不建議支付贖金。

所有在 IDC 托管或自建機(jī)房有服務(wù)器的企業(yè)，如果采用了 Windows 操作系統(tǒng)，立即安裝微軟補(bǔ)丁。

安全補(bǔ)丁對個(gè)人用戶來說相對簡單。只需自學(xué)裝載，就能完成。

對大型企業(yè)或組織機(jī)構(gòu)，面對成百上千臺(tái)機(jī)器，最好還是能使用客戶端進(jìn)行集中管理。

可靠的數(shù)據(jù)備份可以將勒索軟件帶來的損失最小化。

雷鋒網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。