【科技】拆析Petya勒索病毒：勒索其次破坏越来越多

本篇文章1604字，读完约4分钟

【每日科技网】

今年五月份勒索病毒在全球范围内肆虐，根据媒体报道，中国也受到很大影响，除教育网、校园网以外，北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇病毒袭击。这次勒索病毒影响广泛，造成影响之大引发了全球范围的关注。原本事情逐渐平息，但6月27日晚些时候，代号为petya的勒索病毒变种之后继续肆虐。

根据外国媒体报道，俄罗斯石油企业rosneft、乌克兰国家储蓄银行和政府系统都受到了攻击，仅俄、乌两国就有80多个企业被该病毒感染，就连乌克兰副总理的电脑也不幸中招。全球很多地区和国家都受到了影响。

利用那些漏洞传递 怎么破坏

petya虽然并不是一个合格的勒索病毒，但是造成的破坏性就更加可怕，要知道如果真的有重要资料，虽然付给不法分子赎金的方法我们非常不提倡，但对于很多客户来讲似乎是处理的方法之一。当然了我们最终还是要强调支付赎金并不是理性的方法，毕竟能够做病毒勒索钱财的人也不会是什么讲信誉的人，即便是支付了赎金也未必能够解锁，此前苹果ios设备被恶意锁定勒索的事情常有发生，支付钱款得不到处理的范例也非常常见。

正因为petya勒索病毒的支付渠道不靠谱，所以导致它的破坏能力更强，除了像其他勒索病毒一样加密锁定文件之外，还会撰改硬盘主引诱记录(mbr)、加密硬盘文件分配表(mft)，导致电脑不能正常启动。这样一来对于普通客户来讲有重要文件就不太容易恢复了，造成的损失巨大。

病毒首先会遍历全部磁盘，对各个固定磁盘创建一个线程执行文件遍历，文件遍历时会评估文件后缀，对比特殊目录该病毒编码跳过了c:\windows目录，不会对该目录下的任何文件进行加密。拔掉电源可以挽救加密mft，但并不能挽回之前在桌面环境下已经被加密的客户文件。

不仅破坏力惊人，而且petya传递方法利用永恒之蓝和永恒浪漫两个漏洞，这就导致了它可以通过内网渗透采用系统的wmic和sysinternals的psexec传递，所以即便电脑修复永恒之蓝漏洞，只要内网有中毒电脑，仍有被感染的危险。

业内人士认为petya的传递能力和威胁范围甚至是超过wannacry病毒的。

不为钱财只为破坏

通常来讲病毒尤其是勒索病毒的目的是索要赎金，通常首要对比一点商业客户和要害pc或者设备终端。如此大规模的传递往往偷鸡不成还容易让自己成为众矢之的，会被更厉害的人物盯上，不论是白帽子还是黑客都会关注到病毒传递的源头。

wannacry勒索病毒本身已经是不太明智的方法了，但安全团队发现，petya和以往的勒索病毒有很大不同，甚至和wannacry勒索病毒也不一样。病毒作者精心设计制作了传递、破坏的功能模块，勒索赎金的模块却制作粗糙、漏洞百出，稍有勒索病毒的常识就知道，病毒作者几乎不太可能拿到赎金。

根据国内火绒安全团队的说法，病毒作者可能根本没打算得到赎金。与其说petya是勒索病毒，不如说它是披着勒索病毒外衣的反社会人格的恶性病毒，就像当年臭名昭著的cih等恶性病毒一样，损人不利己，以最大范围的传递和攻击破坏电脑系统为目的。

petya病毒一般情况下是勒索价值300美金的比特币赎金，但是却没有像常规勒索病毒一样向受害者提供可信、便捷的付款链接，而是选择用公开的电子信箱来完成赎金支付，很显然，这样做特别粗糙和脆弱。

相比wannacry病毒petya利用漏洞使得传递速度更快，但是对勒索病毒更应该关注的支付赎金流程都是草草解决，这一些很奇怪。尤其是新版本的petya病毒，在内网传递功能上消费了心思。因为此旧版本petya更像是一个真正的勒索病毒，它会为不同客户生成不同的暗网地址以便客户支付赎金。而新版本petya弱化了支付赎金流程，只是提供了一个简单的邮箱和黑客联系，显然如果是为了勒索至少不会如此简化勒索支付的功能。

没有，没用。现在世界上支付赎金，解除文件系统。 不是吗？因为没有这个。 狮子