Petya 是一种勒索软件,于 2016 年首次出现。NotPetya 是一种与 Petya 有许多相似之处但行为不同的恶意软件。
阅读本文后,您将能够:
复制文章链接
Petya 是一种勒索软件,于 2016 年首次被发现。与其他类型的勒索软件一样,Petya 会加密受害者计算机上的文件和数据。Petya 的运营商要求支付比特币,然后才会解密文件并使其再次可用。
与一些较旧的勒索软件类型不同,它们仅加密某些重要文件以勒索受害者,Petya 会锁定计算机的整个硬盘。具体来说,它会加密计算机的主文件表 (MFT),导致无法访问硬盘上的任何文件。
据观察,Petya 只针对使用 Windows 操作系统的计算机。
与许多其他勒索软件攻击类似,Petya 主要通过电子邮件附件进行传播。攻击者向 HR 部门发送附有虚假工作申请的电子邮件。附加的 PDF 要么包含受感染的 Dropbox 链接,要么实际上是变相的可执行文件——取决于所使用的攻击方法。
2017 年 6 月,一种在许多方面类似于 Petya 的新型勒索软件感染了世界各地的组织。由于它与 Petya 有诸多相似之处,但有一些重要的区别,安全供应商卡巴斯基将其称为“NotPetya”。截至 2017 年 6 月 28 日,NotPetya 已经影响了至少 2,000 个组织,绝大多数受害组织都在乌克兰。
与 Petya 一样,NotPetya 勒索软件影响受害者的整个硬盘。然而,NotPetya 加密整个硬盘本身而不是 MFT。它突然迅速传播,并使用各种漏洞利用和凭据盗窃方法迅速感染整个网络。
值得注意的是,观察到 NotPetya 使用了与 2017 年初全球 WannaCry 攻击所使用的相同的 EternalBlue 漏洞 (CVE-2017-0144)。这使得它能够在没有用户任何干预的情况下迅速在网络中传播——不像 Petya,它需要用户打开恶意电子邮件附件才能开始感染。Microsoft 于 2017 年 3 月发布了针对 EternalBlue 漏洞的补丁,但许多组织尚未安装该补丁。
它们是一样的东西。安全行业的不同成员对这种恶意软件有不同的名称。NotPetya 的名称包括 Petya 2.0、ExPetr 和 GoldenEye。
与大多数勒索软件会暂时损坏或限制对文件的访问以换取赎金不同,NotPetya 似乎纯粹是破坏性的。没有办法扭转它造成的损害;从根本上来说,它完全清除了文件,没有恢复的希望。
尽管它仍然显示勒索信息,但这种策略可能只是用来掩饰攻击者的意图。即使 NotPetya 受害者想要支付赎金,消息也会显示一个虚假的、随机生成的比特币地址。攻击者无法收集赎金,进一步表明 NotPetya 的目标是破坏,而不是经济利益。
真正的勒索软件最初并非旨在彻底清除文件和数据。尽管如果不支付赎金,一些勒索软件攻击者可能会在稍后执行此操作,但立即擦除文件和数据并不能促使受害者付款,因为没有希望取回他们的文件。大多数勒索软件攻击者的动机是金钱,而不是对受害者系统的持久破坏。
虽然 2016 年 Petya 攻击背后的攻击者似乎是典型的勒索软件网络犯罪分子,但 2018 年几个国家宣布俄罗斯政府直接支持 NotPetya 攻击。这表明 NotPetya 攻击可能有政治动机。
这三个步骤可以帮助降低 Petya 或 NotPetya 攻击的可能性:
要了解更多信息,请参阅如何防范勒索软件。
组织也可以采用 Cloudflare One。Cloudflare One 是一个平台,可帮助用户安全地连接到他们需要的资源。Cloudflare One 使用零信任安全方法,帮助预防和遏制勒索软件感染。