這周爆發的勒索病毒，是怎麼來的？【好奇心日報】

本週二開始了新一輪網路攻擊，初看上去跟 5 月份的 WannaCry 勒索攻擊相似。

這次，新的蠕蟲病毒 PetyaWrap 攻擊了烏克蘭、俄羅斯、美國以及多個歐洲國家的 30 萬台電腦。受影響的包括丹麥航運企業集團馬士基（Maersk）、英國製藥公司默克（Merck）和廣告公司 WPP 等，至少有 30 萬台電腦受到了攻擊。根據卡巴斯基的分析，病毒主要影響的是烏克蘭。

起初這是另一起勒索攻擊。攻擊者加密電腦檔，索要價值 300 美元的比特幣作為解密的秘鑰的價格。再加上，PetyaWrap 病毒被認為再一次使用了美國安全局（NSA）的漏洞“永恆之藍”（Eternal Blue），

也有一些網路安全專家稱這次是 WannaCry2。

PetyaWrap 病毒也勒索使用者｜圖片來自：ArsTechnica

最新的消息是，除了最基本的 Windows 系統升級到最新版本外，目前還有安全專家找到了“疫苗”，可以中斷 PetyaWrap 病毒的加密進程。

網路安全專家 Amit Serper 發現，只需要在 Windows 電腦內的特定區域新建一個特殊的唯讀檔案，

就可以中斷 PetyaWrap 病毒的加密進程。這一防護機制已經被其他安全公司確認有效。

設置步驟如下：

打開“資料夾選項”，取消勾選“隱藏已知檔案類型的副檔名”
打開C:\Windows 資料夾，找到 notepad.exe 這個檔後複製、粘貼
將複製好的 notepad.exe 重命名為 perfc，並且在右鍵功能表列裡的屬性將其設置為唯讀

這跟 5 月份安全專家阻止 WannaCry 進一步擴散不同。當時的做法是通過註冊一個伺服器功能變數名稱，

阻止了 WannaCry 進一步擴散，現在這次針對 PetyaWrap 的防護，使用者需要做的就是在本地新建這個檔。

在這背後，是因為 PetyaWrap 病毒跟此前的 WannaCry 雖然使用了相同的漏洞，但攻擊方式是不同的，WannaCry 想要勒索使用者，但 PetyaWrap 病毒的目標可能是銷毀 Windows 電腦上的資料。

包括卡巴斯基、虛擬機器軟體公司 VMWare 等幾家安全研究機構稱，這次 PetyaWrap 攻擊工具是基於去年出現的勒索軟體 Petya 改的，但攻擊者修改了部分代碼後，

PetyaWrap 給電腦檔加密後，會將其銷毀。

根據網路安全公司 Comae 創始人、安全專家 Matt Suiche 的解釋，這兩者在目的、攻擊方式都是不同的。勒索軟體目的是賺取攻擊物件的贖金，攻擊方式是給電腦檔加密，保留解密的秘鑰。但現在的 PetyaWrap 偽裝成勒索軟體，可能是為了吸引外界的注意力，以便銷毀電腦檔。

相比上次的 WannaCry 電腦詐騙案來說，這次比較快的發現了可能的病毒傳播源頭。

微軟和烏克蘭的警方昨天稱，

他們有證據說明，PetyaWrap 病毒的源頭來自于烏克蘭一家開發會計軟體的 M.E.Doc 公司。微軟稱，M.E.Doc 公司的一次軟體更新包中被放入了病毒軟體，這個病毒通過這次更新傳播到了該公司的客戶中。

但 M.E.Doc 在 Facebook 的聲明中稱，在病毒擴散這件事上它沒有責任，還說，M.E.Doc 公司的部分服務同樣受到影響。

此外，現在即便被攻擊的用戶想要支付贖金，解鎖電腦檔也無法聯繫到攻擊者了。

德國郵箱供應商 Posteo 發現，這次攻擊者使用的是他們的郵箱服務，隨即將其遮罩，現在攻擊者無法收到郵件，也就無法收到被攻擊物件的贖金。Posteo 給出的說法是，他們不能容忍這類行為，還說攻擊者很可能不會給秘鑰。目前攻擊者共收到了價值 7500 美元的比特幣。

攻擊者的郵箱被遮罩了｜圖片來自：Mikko Hypponen/Twitter

但也有人指責 Posteo 的做法是“愚蠢的”，稱這直接導致的後果就是，用戶即便想要支付贖金現在也沒有管道了。

題圖來自：Pixabay

喜歡這篇文章？去 App 商店搜好奇心日報，每天看點不一樣的。

攻擊者的郵箱被遮罩了｜圖片來自：Mikko Hypponen/Twitter

但也有人指責 Posteo 的做法是“愚蠢的”，稱這直接導致的後果就是，用戶即便想要支付贖金現在也沒有管道了。

題圖來自：Pixabay

喜歡這篇文章？去 App 商店搜好奇心日報，每天看點不一樣的。