Petya 是一種勒索軟體,於 2016 年首次出現。NotPetya 是一種與 Petya 有許多相似之處但行為不同的惡意軟體。
閱讀本文後,您將能夠:
複製文章連結
Petya 是一種勒索軟體,於 2016 年首次被發現。與其他類型的勒索軟體一樣,Petya 會加密受害者電腦上的檔案和資料。Petya 的營運者要求支付比特幣,然後才會解密檔案並使其再次可用。
與一些較舊的勒索軟體類型不同,它們僅加密某些重要檔案以勒索受害者,Petya 則會鎖定電腦的整個硬碟。具體來說,它會加密電腦的主檔案表格 (MFT),導致無法存取硬碟上的任何檔案。
據觀察,Petya 只針對使用 Windows 作業系統的電腦。
與許多其他勒索軟體攻擊類似,Petya 主要透過電子郵件附件進行傳播。攻擊者向 HR 部門傳送附有虛假工作申請的電子郵件。附加的 PDF 要么包含受感染的 Dropbox 連結,要么實際上是變相的可執行檔——取決於所使用的攻擊方法。
2017 年 6 月,一種在許多方面類似於 Petya 的新型勒索軟體感染了世界各地的組織。由於它與 Petya 有諸多相似之處,但有一些重要的區別,安全廠商 Kaspersky 將其稱為「NotPetya」。截至 2017 年 6 月 28 日,NotPetya 已經影響了至少 2,000 個組織,絕大多數受害組織都在烏克蘭。
與 Petya 一樣,NotPetya 勒索軟體影響受害者的整個硬碟。然而,NotPetya 加密整個硬碟本身而不是 MFT。它突然迅速傳播,並使用各種漏洞利用和認證盜竊方法迅速感染整個網路。
值得注意的是,觀察到 NotPetya 使用了與 2017 年初全球 WannaCry 攻擊所使用的相同的 EternalBlue 漏洞 (CVE-2017-0144)。這使得它能夠在沒有任何使用者干預的情況下迅速在網路中傳播——不像 Petya,它需要使用者開啟惡意電子郵件附件才能開始感染。Microsoft 於 2017 年 3 月發布了針對 EternalBlue 漏洞的修補程式,但許多組織尚未安裝該修補程式。
它們是一回事。安全行業的不同成員對這種惡意程式碼有不同的名稱。NotPetya 的名稱包括 Petya 2.0、ExPetr 和 GoldenEye。
與大多數勒索軟體會暫時損壞或限制對檔案的存取以換取贖金不同,NotPetya 似乎純粹是破壞性的。沒有辦法扭轉它造成的損害;從根本上來說,它完全清除了檔案,沒有恢復的希望。
儘管它仍然顯示勒索訊息,但這種策略可能只是用來掩飾攻擊者的意圖。即使 NotPetya 受害者想要支付贖金,訊息也會顯示一個虛假的、隨機產生的比特幣位址。攻擊者無法收集贖金,進一步表明 NotPetya 的目標是破壞,而不是經濟利益。
真正的勒索軟體最初並非旨在徹底清除檔案和資料。儘管如果不支付贖金,一些勒索軟體攻擊者可能會在稍後執行此動作,但立即擦除檔案和資料並不能促使受害者付款,因為沒有希望取回他們的檔案。大多數勒索軟體攻擊者的動機是金錢,而不是對受害者系統的持久破壞。
雖然 2016 年 Petya 攻擊背後的攻擊者似乎是典型的勒索軟體網路犯罪分子,但 2018 年幾個國家宣布俄羅斯政府直接支援 NotPetya 攻擊。這表明 NotPetya 攻擊可能有政治動機。
以下三個步驟可以幫助降低 Petya 或 NotPetya 攻擊的可能性:
要瞭解更多資訊,請參閱如何防範勒索軟體。
組織也可以採用 Cloudflare One。Cloudflare One 是一個平台,可幫助使用者安全地連接到他們需要的資源。Cloudflare One 使用 Zero Trust 安全性方法,幫助預防和遏制勒索軟體感染。