什么是 Petya 勒索软件？

Petya 勒索软件是一类毒性极强的恶意软件家族，它会阻止用户访问计算机系统，直至受害者支付赎金。与加密硬盘和服务器上单个文件的其他类型勒索软件相比，Petya 攻击 Microsoft Windows 操作系统来加密主引导记录 (MBR) 和主文件表 (MFT)，从而阻止计算机启动。

虽然目前尚不清楚 Petya 勒索软件的幕后黑手是谁，但分析师认为，发起这些网络攻击的是通过勒索赎金谋取经济利益的网络犯罪分子。Petya 勒索软件最早发现于 2016 年。

2017 年，Petya 的一个新型变种开始感染全球各地的企业。这种新的勒索软件变种类似于 Petya，但存在一些显著差异，因此被网络安全专家称之为 NotPetya。它使用了之前在 WannaCry 勒索软件攻击中发现的相同的 EternalBlue 漏洞。

虽然 NotPetya 最初看似是勒索软件，但后来发现，这种新变种更像是擦除程序，它会加密文件，却根本无法恢复，因为勒索函中的付款链接是伪造的。擦除类恶意软件旨在破坏或损坏数据，而不是索要赎金。

由于破坏性极强的 NotPetya 攻击最初以乌克兰公司为目标，因此安全研究分析师认为， NotPetya 可能是由得到俄罗斯政府批准、国家扶持的黑客发起的。

这种恶意软件在欧洲迅速传播，利用过时 Windows 系统中的漏洞影响企业。最复杂的 NotPetya 攻击之一是针对全球航运公司 Maersk 的攻击。

NotPetya 与 Petya 的传播技术不同。NotPetya 通过 MeDoc 或 M.E.Doc 会计软件的更新机制，对乌克兰公司实施攻击。其他传播技术包括后门和利用 Mimikatz 工具来窃取用户的 Windows 凭据。黑客还通过将 PsExec 和 Windows Management Instrumentation (WMI) 等合法工具转化为木马来传播 NotPetya。

Petya 勒索软件主要通过包含恶意附件的网络钓鱼电子邮件传播。这些电子邮件可能包括发送给人力资源部的电子邮件，其中包含虚假的工作申请。

Petya 勒索软件将 MBR 替换为恶意代码，从而加密硬盘的文件系统。系统重新启动后，它会显示勒索函，要求以比特币支付赎金，以换取解密密钥。

要防范 Petya 和 NotPetya 等勒索软件，IT 和安全团队需要部署多个级别的反勒索软件工具和网络安全防御措施。其中包括：

• 操作系统和软件的更新和补丁：定期更新和补丁有助于消除勒索软件攻击所利用的漏洞。IT 团队必须特别注意针对 EternalBlue 等漏洞的补丁，并禁用 SMBv1 等过时的协议。
• 网络安全产品：防火墙、入侵防御系统 (IPS)、DNS 和网络筛选器、应用程序允许列表以及 Zero Trust 解决方案等技术，有助于阻止威胁并发现潜在的可疑活动。
• 防病毒和反恶意软件：这些解决方案可实时抵御恶意软件和漏洞利用。
• 备份：保留重要文件的备份副本可以帮助企业在 Petya 勒索软件攻击后更快地恢复。除频繁备份外，IT 团队还必须留存离线的文件副本，以防止恶意软件和勒索软件感染。
• 训练：安全意识培训可让员工了解如何发现钓鱼攻击，以及有助于防范 Petya 勒索软件等攻击的安全习惯。
• 电子邮件过滤：扫描电子邮件中是否存在恶意软件和恶意链接，并阻止潜在的恶意附件，可以防止 Petya 勒索软件到达最终用户。
• 强大的身份和访问管理：对于拥有高度分布式 IT 环境的企业而言，采用以身份为中心的防御措施，能够阻止黑客对 IT 环境的未授权访问，使他们无法传播恶意软件和勒索软件。

IT 和安全团队可以通过多个步骤移除 Petya 代码。

• 隔离：IT 团队必须将受感染的系统与网络的其他部分隔离，以防止感染传播。
• 识别：准确识别勒索软件的种类，对于确定清除感染的最佳方法，以及找到任何潜在的解密工具至关重要。
• 移除：然后，IT 团队可以部署专用工具，清理受影响的驱动器、删除漏洞利用工具包，以及修复攻击者可能用于重新安装勒索软件的任何漏洞。
• 恢复：受影响的文件可以从干净的备份副本中恢复。
• 联系：与执法人员协作，有助于追踪到对勒索软件攻击负有责任的网络犯罪团伙。