勒索病毒卷土重来再次利用美国安局黑客工具 蔓延至欧美多国

27日全球遭受新一轮勒索病毒攻击，乌克兰切尔诺贝利核设施辐射监测系统、俄罗斯最大石油公司以及欧美多国企业纷纷中招。

美国信息安全公司赛门铁克和火眼当天说，与前不久袭击全球的“想哭”勒索病毒类似，最新勒索病毒也利用了美国国家安全局网络武器库的黑客工具“永恒之蓝”。

已实施2000次攻击九成目标在乌俄两国

本轮勒索病毒攻击范围广泛，乌克兰和俄罗斯首当其冲。乌克兰政府机构、中央银行、能源及通信系统、基辅国际机场等均遭攻击。切尔诺贝利核设施辐射监测系统被迫转成人工操作模式。

俄罗斯石油公司服务器遭到病毒攻击，不得不启用备用生产管理系统，官网一度瘫痪。俄中央银行发布警告说，未知的勒索病毒正攻击俄金融机构信贷系统，一些银行服务器已被侵入。

此外，全球海运巨头丹麦马士基航运集团、全球最大传播服务企业英国WPP集团、美国医药巨头默克公司、美国纽约州和新泽西州港口运营商的电脑均在受害者之列……

据俄网络安全公司卡巴斯基实验室初步调查显示，该勒索软件当天已实施约2000次攻击，90％以上在乌克兰和俄罗斯，波兰、意大利、德国、法国、英国、美国也受害。

美国思科公司下属的塔洛斯安全情报研究机构说，该勒索病毒最初可能是伪装成一个系统更新进入了乌克兰一个名为Medoc的财会系统，随后蔓延至欧洲、北美地区多个国家。

与“想哭”病毒一样利用“永恒之蓝”传播

多家网络安全服务公司表示，此次的勒索病毒会加密电脑文件，要求受害者以比特币形式支付相当于300美元的赎金，以解锁遭加密文件。

储存比特币交易历史的“区块链”网站数据显示，勒索者已收到36笔转账，总金额近9000美元。不过，目前尚不清楚受害者在支付赎金后能否解决问题。

据最新消息，勒索病毒相关收款邮箱已被封，有关部门建议受害者不要支付赎金。

微软公司说，这一病毒软件利用了微软系统的一个漏洞，尽管该漏洞在今年3月的一次安全升级中被打过补丁。微软还称该公司的杀毒软件能够发现并删除该勒索软件。

由于这种病毒能够利用“管理员共享”功能在内网自动渗透，一些企业内网修补漏洞比普通用户慢，企业内网用户更容易遭受攻击。有网络安全专家认为，这次勒索病毒造成的影响可能小于“想哭”病毒，因为很多电脑已在“想哭”病毒来袭时修补了相关漏洞。

不过，美国朱尼珀网络公司表示，这一波病毒攻击可能更“凶险”，因为感染会导致系统反应迟钝、无法重启。此外，有专家认为，今年5月“想哭”病毒肆虐时，一名22岁的英国网络工程师无意中触发病毒的“自杀开关”，遏制了病毒迅速蔓延，而最新的勒索病毒不太可能存在“自杀开关”，因此可能很难阻止其传播。

赛门铁克公司安全响应团队27日说，最新勒索病毒是已知病毒Petya的一个变种，这个病毒自2016年以来就存在。不同于普通勒索病毒，Petya病毒不仅给中招电脑的文档加密，还改写和加密电脑主引导记录。主引导记录是指电脑开机后系统访问硬盘时必须要读取的首个扇区。

赛门铁克研究人员说，最新勒索软件的一个传播方式是利用“永恒之蓝”黑客工具入侵系统，这与此前蔓延的“想哭”勒索病毒的传播方式相似。

“永恒之蓝”是美国国家安全局基于微软“视窗”操作系统一个安全漏洞开发的黑客工具，可用以侵入存在这一安全漏洞的电脑系统。黑客组织“影子经纪人”从美国国安局的网络武器库中盗取了包括“永恒之蓝”在内的一批黑客工具，并于今年4月在网上公布，“想哭”病毒就利用了这个工具。

>中国应对<国家互联网应急中心提出5点防护建议

中国国家网络与信息安全信息通报中心28日紧急通报，最新勒索病毒通过伪装成求职简历电子邮件进行传播，用户点击该邮件后释放可执行文件，病毒在成功感染本机后形成初始扩散源，再利用“永恒之蓝”漏洞在内网中寻找打开445端口的主机进行传播，使得病毒可以在短时间内呈爆发态势。该病毒在感染后写入计算机的硬盘主引导区，相较普通勒索病毒对系统更具有破坏性。

针对最新勒索病毒袭击，中国国家互联网应急中心提出防护策略5点建议。

1.不要轻易点击不明附件，尤其是rtf、doc等格式文件。

2. 内网中存在使用相同账号、密码情况的机器请尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安装完成后再进行开机操作。

3. 更新MS17-010操作系统补丁。

4.更新Microsoft Office/WordPad  远程执行代码漏洞（CVE -2017-0199）补丁。

5. 禁用 操作系统WMI服务。

国家互联网应急中心表示，后续将密切监测和关注该勒索软件的攻击情况，同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范。(来源：中国新闻）