Petya是一种在2016年被首次发现的勒索软件。2017年6月,Petya的一个新变种“NotPetya”被用于发动一次全球性(英语:Global issue)的网络攻击。
此次攻击类似在2017年5月爆发的WannaCry勒索攻击,两者都利用同一个已修复的Windows安全漏洞——EternalBlue(永恒之蓝)。乌克兰可能是此次事件中遭受最严重影响的国家。有观点认为此次网络攻击是对乌克兰的一次政治目的的攻击,论据是6月28日为乌克兰人的公众假期宪法日(英语:Constitution Day (Ukraine))。
Petya于2016年3月发现;Check Point指出,相较于CryptoWall等2016年初活跃的其他蠕虫病毒,感染数目要少,且运行过程中有值得注意的差别,导致Petya“进入蠕虫病毒进化下一步时立即衰弱”。2016年5月发现的另一个Petya变体附带辅助的有效负载,若恶意软件无法实现管理员层级的访问时便会生效。
名字Petya、Mischa和Goldeneye源于1995年詹姆斯·邦德电影《黄金眼》。影片中,Petya和Mischa是武器卫星,每颗卫星都携带在低地球轨道引爆产生电磁脉冲的原子弹“黄金眼”。德国报纸《海因茨海斯(英语:Heinz Heise)》注意到疑似恶意软件作者的Twitter账户,用了《黄金眼》中由英国演员艾伦·卡明扮演的大反派、俄罗斯黑客鲍里斯·基里申科(Boris Grishenko)的图片作头像 。
2017年6月27日,全球大规模爆发了利用Petya新变种的网络攻击,最先表示受到攻击的是乌克兰公司。当天,卡巴斯基实验室报道称法国、德国、意大利、波兰、英国和美国都出现感染,但大部分感染都针对俄罗斯和乌克兰,当中乌克兰超过80家公司最先遭受攻击,包括乌克兰国家银行。ESET估计,80%的感染都出现在乌克兰,位列第二的德国只有9%的感染。俄罗斯总统弗拉基米尔·普京新闻秘书德米特里·佩什科夫表示俄罗斯受到的破坏并不严重。专家认为,由于事发时机选在乌克兰宪法纪念日(英语:Constitution Day (Ukraine))假期前夕,所以属于针对乌克兰的有政治动机的袭击。
卡巴斯基把这一变种称为“NotPetya”,和早期的变种相比,NotPetya运作时差别极大。McAfee工程师克里斯蒂安·贝克(Christiaan Beek)声称该变体被设计得传播特别快,目标“完全是能源公司、电力网、汽车站、加油站、机场和银行”等基础设施。
芬氏安全分析师米科·赫佩根(英语:Mikko Hyppönen)认为,“似乎事实上”被感染的乌克兰纳税申办程序“M.E.Doc”的补丁在该国开展业务的公司之间传播恶意软件。ESET分析发现,更新系统存在的后门在袭击前至少存在六个星期,称袭击是“深思熟虑且干净利落的行动”。程序开发商否认他们要对袭击负全责,表示他们也是受害者。
2017年7月4日,乌克兰网络犯罪部门查缴了“M.E. Doc”公司的服务器,据认为,他们侦测到的“新活动”会引起恶意软件“不受控制的扩散”。警方建议软件用户停止使用,假定它依然存在后门。分析缴获服务器,发现自2013年软件没有更新过,有“俄罗斯插手的证据”,服务器上的员工账户已经被攻陷。部门负责人警告称,M.E.Doc维护服务器安全时疏忽大意,要附上刑事责任。
Petya利用有效负载感染计算机的主引导记录(MBR),覆盖Windows引导程序,随后触发重启。下次重启,有效负载执行,加密NTFS文件系统的主文件表,显示要求支付比特币赎金的勒索信息。在此过程中会输出据信是Windows文件系统扫描器chkdsk的文本,显示在屏幕上,暗示正在修复硬盘驱动器扇区。原本的有效负载需要用户授予其管理权限,但Petya的一个变体捆绑了另一个有效负载Mischa,如果Petya无法安装,Mischa就会运行。Mischa是更加传统的勒索软件有效负载,用途是加密用户文档和可执行文件,并不需要管理权限来执行。Petya的初级版本会将它的有效负载伪装成PDF文件,附在电邮中。
2017年攻击中使用的“NotPetya”变体使用了“永恒之蓝”漏洞占据Windows服务器消息块协议的安全隐患。普遍认为,永恒之蓝由美国国家安全局开发,于2017年4月的WannaCry攻击事件中被公之于众。该恶意软件采用多项技术传播给同一网络下的其他计算机,其中包括收集密码,配合PSExec在其他本地计算机上运行代码。另外,尽管仍然是勒索软件,但是加密程序被修改,恶意软件所做的变更无法从技术层面上恢复。WannaCry的解锁费用相对较低,为300美元,使用单一固定的比特币钱包收集赎金,而不是对每个特定的感染产生唯一的ID进行追踪。连同其他不寻常的迹象,相比之下,研究人员推测,这番攻击并不是一场创造利润的风投活动,而是为了迅速损坏设备,岔开(英语:Copycat crime)WannaCry声称为勒索软件而获得的媒体关注度。
受感染的计算机在出现虚假的chkdsk屏幕时立即关闭,很有可能会中断感染过程。安全分析师推测,在Windows安装目录中创建名为“perfc”或(含)“perfc.dat”的只读文件可以阻止目前的有效载荷执行。勒索屏幕上出现的电邮地址因违反使用条款,被提供商Posteo(英语:Posteo)封号。结果受感染的用户实际上无法向犯罪者发送所需的支付确认信。
微软在2017年3月已经向受支持的Windows版本发布补丁解决永恒之蓝漏洞。随后又在2017年5月向Windows XP等不受支持的Windows版本发布补丁。《连线》杂志认为“尽管Petya迄今为止造成的损害程度非常的大,但似乎很多推迟推出补丁程序,尽管类似的勒索程序传播有着明显且潜在的破坏性威胁。”有些企业认为,基于可能的停机时间或兼容性问题在某些系统上安装更新也具有破坏性,这在某些情形下可能是有问题的。
乌克兰、俄罗斯、波兰、意大利、德国、法国、英国、美国等许多国家在此次事件中遭受到攻击。乌克兰和俄罗斯受到的影响最大,两国有超过80家公司遭到攻击。
切尔诺贝利核电站的辐射监测系统在遭到攻击后离线。乌克兰的多个部门、银行、地铁系统和多家国有企业也受到影响,其中包括:鲍里斯波尔国际机场、乌克兰电信(英语:Ukrtelecom)、乌克兰邮政(英语:Ukrposhta)、乌克兰国家储蓄银行(英语:State Savings Bank of Ukraine)、乌克兰铁路。
其他受影响的公司包括:英国广告公司WPP集团、Maersk Line,美国制药公司默克药厂,俄罗斯石油公司俄罗斯石油,跨国律师事务所DLA Piper,西班牙食品公司亿滋国际,法国建筑公司圣戈班,以及美国的医院运营商Heritage Valley Health System等。
欧洲刑警组织称已意识到并且紧急响应欧盟成员国遭到网络攻击的报告。美国国土安全部已介入并协调其国际和地区合作方。民主党国会议员刘云平致函国家安全局,让该机构更为积极地和科技公司合作查找软件漏洞,帮助他们预防未来由国安局制造的恶意软件引发的袭击。
卡巴斯基实验室2017年6月27日的声明认为此次攻击中使用的恶意程序并非“Petya”病毒变种,而是一种新型勒索病毒,他们将其命名为NotPetya。但安全软件开发商Bitdefender与火绒安全在其公告中认为此次捕获勒索病毒仍属于“Petya”病毒变种。
