什么是 Petya 和 NotPetya?

Petya 是一种勒索软件,于 2016 年首次出现。NotPetya 是一种与 Petya 有许多相似之处但行为不同的恶意软件。

学习目标

阅读本文后,您将能够:

  • 定义 Petya 勒索软件
  • 描述 Petya 和 NotPetya 之间的区别
  • 了解如何预防 Petya 和 NotPetya 的感染

复制文章链接

什么是 Petya 勒索软件?

Petya 是一种勒索软件,于 2016 年首次被发现。与其他类型的勒索软件一样,Petya 会加密受害者计算机上的文件和数据。Petya 的运营商要求支付比特币,然后才会解密文件并使其再次可用。

与一些较旧的勒索软件类型不同,它们仅加密某些重要文件以勒索受害者,Petya 会锁定计算机的整个硬盘。具体来说,它会加密计算机的主文件表 (MFT),导致无法访问硬盘上的任何文件。

据观察,Petya 只针对使用 Windows 操作系统的计算机。

Petya 勒索软件如何传播?

与许多其他勒索软件攻击类似,Petya 主要通过电子邮件附件进行传播。攻击者向 HR 部门发送附有虚假工作申请的电子邮件。附加的 PDF 要么包含受感染的 Dropbox 链接,要么实际上是变相的可执行文件——取决于所使用的攻击方法。

什么是 NotPetya?

2017 年 6 月,一种在许多方面类似于 Petya 的新型勒索软件感染了世界各地的组织。由于它与 Petya 有诸多相似之处,但有一些重要的区别,安全供应商卡巴斯基将其称为“NotPetya”。截至 2017 年 6 月 28 日,NotPetya 已经影响了至少 2,000 个组织,绝大多数受害组织都在乌克兰。

与 Petya 一样,NotPetya 勒索软件影响受害者的整个硬盘。然而,NotPetya 加密整个硬盘本身而不是 MFT。它突然迅速传播,并使用各种漏洞利用和凭据盗窃方法迅速感染整个网络。

值得注意的是,观察到 NotPetya 使用了与 2017 年初全球 WannaCry 攻击所使用的相同的 EternalBlue 漏洞 (CVE-2017-0144)。这使得它能够在没有用户任何干预的情况下迅速在网络中传播——不像 Petya,它需要用户打开恶意电子邮件附件才能开始感染。Microsoft 于 2017 年 3 月发布了针对 EternalBlue 漏洞的补丁,但许多组织尚未安装该补丁。

NotPetya 与 Petya 2.0 有区别吗?

它们是一样的东西。安全行业的不同成员对这种恶意软件有不同的名称。NotPetya 的名称包括 Petya 2.0、ExPetr 和 GoldenEye。

NotPetya 实际上是勒索软件吗?

与大多数勒索软件会暂时损坏或限制对文件的访问以换取赎金不同,NotPetya 似乎纯粹是破坏性的。没有办法扭转它造成的损害;从根本上来说,它完全清除了文件,没有恢复的希望。

尽管它仍然显示勒索信息,但这种策略可能只是用来掩饰攻击者的意图。即使 NotPetya 受害者想要支付赎金,消息也会显示一个虚假的、随机生成的比特币地址。攻击者无法收集赎金,进一步表明 NotPetya 的目标是破坏,而不是经济利益。

真正的勒索软件最初并非旨在彻底清除文件和数据。尽管如果不支付赎金,一些勒索软件攻击者可能会在稍后执行此操作,但立即擦除文件和数据并不能促使受害者付款,因为没有希望取回他们的文件。大多数勒索软件攻击者的动机是金钱,而不是对受害者系统的持久破坏。

虽然 2016 年 Petya 攻击背后的攻击者似乎是典型的勒索软件网络犯罪分子,但 2018 年几个国家宣布俄罗斯政府直接支持 NotPetya 攻击。这表明 NotPetya 攻击可能有政治动机。

如何防止 Petya 和 NotPetya 感染

这三个步骤可以帮助降低 Petya 或 NotPetya 攻击的可能性:

  • 加强电子邮件安全实践:大多数 Petya 攻击和一些 NotPetya 攻击都是从受感染的电子邮件附件开始的。为了防止这种情况,组织可以扫描电子邮件中的恶意软件、阻止来自外部来源的电子邮件附件,并培训用户避免打开不受信任的附件。
  • 定期修补漏洞:NotPetya 使用�� EternalBlue 漏洞在攻击发生前几个月就有可用的补丁。勒索软件攻击通常利用软件漏洞进入网络或在其中横向移动。更新软件和修补漏洞可以帮助消除这些攻击媒介
  • 备份文件和数据:保留重要文件的备份副本并不能防止勒索软件感染,但它确实有助于组织更快地从中恢复。对于 NotPetya 这样清除文件的攻击,这实际上可能是恢复文件的唯一方法。

要了解更多信息,请参阅如何防范勒索软件

组织也可以采用 Cloudflare One。Cloudflare One 是一个平台,可帮助用户安全地连接到他们需要的资源。Cloudflare One 使用零信任安全方法,帮助预防和遏制��索软件感染。