什麼是 Petya 與 NotPetya?

Petya 是一種勒索軟體,於 2016 年首次出現。NotPetya 是一種與 Petya 有許多相似之處但行為不同的惡意軟體。

學習目標

閱讀本文後,您將能夠:

  • 定義 Petya 勒索軟體
  • 描述 Petya 和 NotPetya 之間的區別
  • 瞭解如何預防 Petya 和 NotPetya 的感染

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 Petya 勒索軟體?

Petya 是一種勒索軟體,於 2016 年首次被發現。與其他類型的勒索軟體一樣,Petya 會加密受害者電腦上的檔案和資料。Petya 的營運者要求支付比特幣,然後才會解密檔案並使其再次可用。

與一些較舊的勒索軟體類型不同,它們僅加密某些重要檔案以勒索受害者,Petya 則會鎖定電腦的整個硬碟。具體來說,它會加密電腦的主檔案表格 (MFT),導致無法存取硬碟上的任何檔案。

據觀察,Petya 只針對使用 Windows 作業系統的電腦。

Petya 勒索軟體如何傳播?

與許多其他勒索軟體攻擊類似,Petya 主要透過電子郵件附件進行傳播。攻擊者向 HR 部門傳送附有虛假工作申請的電子郵件。附加的 PDF 要么包含受感染的 Dropbox 連結,要么實際上是變相的可執行檔——取決於所使用的攻擊方法。

什麼是 NotPetya?

2017 年 6 月,一種在許多方面類似於 Petya 的新型勒索軟體感染了世界各地的組織。由於它與 Petya 有諸多相似之處,但有一些重要的區別,安全廠商 Kaspersky 將其稱為「NotPetya」。截至 2017 年 6 月 28 日,NotPetya 已經影響了至少 2,000 個組織,絕大多數受害組織都在烏克蘭。

與 Petya 一樣,NotPetya 勒索軟體影響受害者的整個硬碟。然而,NotPetya 加密整個硬碟本身而不是 MFT。它突然迅速傳播,並使用各種漏洞利用和認證盜竊方法迅速感染整個網路。

值得注意的是,觀察到 NotPetya 使用了與 2017 年初全球 WannaCry 攻擊所使用的相同的 EternalBlue 漏洞 (CVE-2017-0144)。這使得它能夠在沒有任何使用者干預的情況下迅速在網路中傳播——不像 Petya,它需要使用者開啟惡意電子郵件附件才能開始感染。Microsoft 於 2017 年 3 月發布了針對 EternalBlue 漏洞的修補程式,但許多組織尚未安裝該修補程式。

NotPetya 與 Petya 2.0 有區別嗎?

它們是一回事。安全行業的不同成員對這種惡意程式碼有不同的名稱。NotPetya 的名稱包括 Petya 2.0、ExPetr 和 GoldenEye。

NotPetya 實際上是勒索軟體嗎?

與大多數勒索軟體會暫時損壞或限制對檔案的存取以換取贖金不同,NotPetya 似乎純粹是破壞性的。沒有辦法扭轉它造成的損害;從根本上來說,它完全清除了檔案,沒有恢復的希望。

儘管它仍然顯示勒索訊息,但這種策略可能只是用來掩飾攻擊者的意圖。即使 NotPetya 受害者想要支付贖金,訊息也會顯示一個虛假的、隨機產生的比特幣位址。攻擊者無法收集贖金,進一步表明 NotPetya 的目標是破壞,而不是經濟利益。

真正的勒索軟體最初並非旨在徹底清除檔案和資料。儘管如果不支付贖金,一些勒索軟體攻擊者可能會在稍後執行此動作,但立即擦除檔案和資料並不能促使受害者付款,因為沒有希望取回他們的檔案。大多數勒索軟體攻擊者的動機是金錢,而不是對受害者系統的持久破壞。

雖然 2016 年 Petya 攻擊背後的攻擊者似乎是典型的勒索軟體網路犯罪分子,但 2018 年幾個國家宣布俄羅斯政府直接支援 NotPetya 攻擊。這表明 NotPetya 攻擊可能有政治動機。

如何防止 Petya 和 NotPetya 感染

以下三個步驟可以幫助降低 Petya 或 NotPetya 攻擊的可能性:

  • 加強電子郵件安全做法:大多數 Petya 攻擊和一些 NotPetya 攻擊都是從受感染的電子郵件附件開始的。為了防止這種情況,組織可以掃描電子郵件中的惡意程式碼、封鎖來自外部來源的電子郵件附件,並訓練使用者避免開啟不受信任的附件。
  • 定期修補漏洞:NotPetya 使用的 EternalBlue 漏洞在攻擊發生前幾個月就有可用的修補程式。勒索軟體攻擊通常利用軟體漏洞進入網路或在其中橫向移動。更新軟體和修補漏洞可以幫助消除這些攻擊媒介
  • 備份檔案和資料:保留重要檔案的備份複本並不能防止勒索軟體感染,但它確實有助於組織更快地從中復原。對於 NotPetya 這樣清除檔案的攻擊,這實際上可能是恢復檔案的唯一方法。

要瞭解更多資訊,請參閱如何防範勒索軟體

組織也可以採用 Cloudflare One。Cloudflare One 是一個平台,可幫助使用者安全地連接到他們需要的資源。Cloudflare One 使用 Zero Trust 安全性方法,幫助預防和遏制勒索軟體感染。