Petya

Petya是一種在2016年被首次發現的勒索軟體^[2]。2017年6月，Petya的一個新變種「NotPetya」被用於發動一次全球性（英語：Global issue）的網路攻擊。^{[3][4][5][6][7][8]}

Petya

Petya原版有效負載顯示的ASCII藝術骷髏畫[1]
別名	GoldenEye NotPetya
分類	特洛伊木馬
感染系統	勒索軟體
子類型	密碼病毒（英語：Cryptovirology）
感染系統	Windows

被Petya攻擊的電腦

Petya要求受害者支付贖金

此次攻擊類似在2017年5月爆發的WannaCry勒索攻擊，兩者都利用同一個已修復的Windows安全漏洞——EternalBlue（永恆之藍）。^[9]烏克蘭可能是此次事件中遭受最嚴重影響的國家。^[3]有觀點認為此次網路攻擊是對烏克蘭的一次政治目的的攻擊^[10]，論據是6月28日為烏克蘭人的公眾假期憲法日。^[10]

背景

Petya於2016年3月發現^[11]；Check Point指出，相較於CryptoWall等2016年初活躍的其他蠕蟲病毒，感染數目要少，且執行過程中有值得注意的差別，導致Petya「進入蠕蟲病毒進化下一步時立即衰弱」^[1]。2016年5月發現的另一個Petya變體附帶輔助的有效負載，若惡意軟體無法實現管理員層級的訪問時便會生效^[11]。

名字Petya、Mischa和Goldeneye源於1995年詹姆士·龐德電影《黃金眼》。影片中，Petya和Mischa是武器衛星，每顆衛星都攜帶在低地球軌道引爆產生電磁脈衝的原子彈「黃金眼」。德國報紙《海因茨海斯（英語：Heinz Heise）》注意到疑似惡意軟體作者的Twitter帳戶，用了《黃金眼》中由英國演員艾倫·康明扮演的大反派、俄羅斯駭客鮑里斯·基里申科（Boris Grishenko）的圖片作頭像^[12] 。

2017年6月27日，全球大規模爆發了利用Petya新變種的網路攻擊，最先表示受到攻擊的是烏克蘭公司^[3]。當天，卡巴斯基實驗室報導稱法國、德國、義大利、波蘭、英國和美國都出現感染，但大部分感染都針對俄羅斯和烏克蘭，當中烏克蘭超過80家公司最先遭受攻擊，包括烏克蘭國家銀行^[3][13]。ESET估計，80%的感染都出現在烏克蘭，位列第二的德國只有9%的感染^[14]。俄羅斯總統弗拉基米爾·普京新聞秘書德米特里·佩什科夫表示俄羅斯受到的破壞並不嚴重^[14]。專家認為，由於事發時機選在烏克蘭憲法日假期前夕，所以屬於針對烏克蘭的有政治動機的襲擊^[15][16]。

卡巴斯基把這一變種稱為「NotPetya」，和早期的變種相比，NotPetya運作時差別極大。McAfee工程師克里斯蒂安·貝克（Christiaan Beek）聲稱該變體被設計得傳播特別快，目標「完全是能源公司、電力網、汽車站、加油站、機場和銀行」等基礎設施^[3][17]。

芬氏安全分析師米科·赫佩根（英語：Mikko Hyppönen）認為，「似乎事實上」被感染的烏克蘭納稅申辦程式「M.E.Doc」的修補程式在該國開展業務的公司之間傳播惡意軟體^[14][18][19]。ESET分析發現，更新系統存在的後門在襲擊前至少存在六個星期，稱襲擊是「深思熟慮且乾淨利落的行動」^[20]。程式開發商否認他們要對襲擊負全責，表示他們也是受害者^{[18][21][22][23]}。

2017年7月4日，烏克蘭網路犯罪部門查繳了「M.E. Doc」公司的伺服器，據認為，他們偵測到的「新活動」會引起惡意軟體「不受控制的擴散」。警方建議軟體使用者停止使用，假定它依然存在後門^[20][24]。分析繳獲伺服器，發現自2013年軟體沒有更新過，有「俄羅斯插手的證據」，伺服器上的員工帳戶已經被攻陷。部門負責人警告稱，M.E.Doc維護伺服器安全時疏忽大意，要附上刑事責任^[25][23][20]。

運作

Petya利用有效負載感染電腦的主開機紀錄（MBR），覆蓋Windows引導程式，隨後觸發重新啟動。下次重新啟動，有效負載執行，加密NTFS檔案系統的主檔案表，顯示要求支付比特幣贖金的勒索資訊^[26][11][27]。在此過程中會輸出據信是Windows檔案系統掃描器chkdsk的文字，顯示在螢幕上，暗示正在修復硬碟機磁區^[1]。原本的有效負載需要使用者授予其管理權限，但Petya的一個變體捆綁了另一個有效負載Mischa，如果Petya無法安裝，Mischa就會執行。Mischa是更加傳統的勒索軟體有效負載，用途是加密使用者文件和可執行檔，並不需要管理權限來執行^[11]。Petya的初級版本會將它的有效負載偽裝成PDF檔案，附在電子郵件中^[11]。

2017年攻擊中使用的「NotPetya」變體使用了「永恆之藍」漏洞占據Windows伺服器訊息區塊協定的安全隱患。普遍認為，永恆之藍由美國國家安全局開發^[27]，於2017年4月的WannaCry攻擊事件中被公之於眾^[28][27]。該惡意軟體採用多項技術傳播給同一網路下的其他電腦，其中包括收集密碼，配合PSExec在其他本地電腦上執行代碼^[29][30][31]。另外，儘管仍然是勒索軟體，但是加密程式被修改，惡意軟體所做的變更無法從技術層面上恢復^[32]。WannaCry的解鎖費用相對較低，為300美元，使用單一固定的比特幣錢包收集贖金，而不是對每個特定的感染產生唯一的ID進行追蹤^[33]。連同其他不尋常的跡象，相比之下，研究人員推測，這番攻擊並不是一場創造利潤的風投活動，而是為了迅速損壞裝置，岔開WannaCry聲稱為勒索軟體而獲得的媒體關注度^[34][35]。

減弱

受感染的電腦在出現虛假的chkdsk螢幕時立即關閉，很有可能會中斷感染過程。安全分析師推測，在Windows安裝目錄中建立名為「perfc」或（含）「perfc.dat」的唯讀檔案可以阻止目前的有效載荷執行^{[36][37][38][39]}。勒索螢幕上出現的電子郵件位址因違反使用條款，被提供商Posteo（英語：Posteo）封號。結果受感染的使用者實際上無法向犯罪者傳送所需的支付確認信^[33]。

微軟在2017年3月已經向受支援的Windows版本發布修補程式解決永恆之藍漏洞。隨後又在2017年5月向Windows XP等不受支援的Windows版本發布修補程式^[40][41]。《連線》雜誌認為「儘管Petya迄今為止造成的損害程度非常的大，但似乎很多推遲推出修補程式程式，儘管類似的勒索程式傳播有著明顯且潛在的破壞性威脅^[42]。」有些企業認為，基於可能的停機時間或相容性問題在某些系統上安裝更新也具有破壞性，這在某些情形下可能是有問題的^[40]。

2017年7月5日，因為NotPetya肆虐，Petya作者在mega.nz釋出了金鑰，參照1995年詹姆士·龐德電影《黃金眼》的『They're right in front of you and can open very large doors(他們就在你的前面，你可以用來打開任何的門)』。

影響

烏克蘭、俄羅斯、波蘭、義大利、德國、法國、英國、美國等許多國家在此次事件中遭受到攻擊。^[3]烏克蘭和俄羅斯受到的影響最大，兩國有超過80家公司遭到攻擊。^[13]

車諾比核電站的輻射監測系統在遭到攻擊後離線。^[43]烏克蘭的多個部門、銀行、地鐵系統和多家國有企業也受到影響，其中包括：鮑里斯波爾國際機場、烏克蘭電信（英語：Ukrtelecom）、烏克蘭郵政（英語：Ukrposhta）、烏克蘭國家儲蓄銀行（英語：State Savings Bank of Ukraine）、烏克蘭鐵路。^[44]

其他受影響的公司包括：英國廣告公司WPP集團^[45]、Maersk Line^[46]，美國製藥公司默克藥廠，俄羅斯石油公司俄羅斯石油，跨國律師事務所DLA Piper^[45]，西班牙食品公司億滋國際，法國建築公司聖戈班，以及美國的醫院運營商Heritage Valley Health System等。^[3][47]

反應

歐洲刑警組織稱已意識到並且緊急回應歐盟成員國遭到網路攻擊的報告。^[13]美國國土安全部已介入並協調其國際和地區合作方^[46]。民主黨國會議員劉雲平致函國家安全局^[48]，讓該機構更為積極地和科技公司合作尋找軟體漏洞，幫助他們預防未來由國安局製造的惡意軟體引發的襲擊^[31][49]。

命名爭議

卡巴斯基實驗室2017年6月27日的聲明認為此次攻擊中使用的惡意程式並非「Petya」病毒變種，而是一種新型勒索病毒，他們將其命名為NotPetya。^[50]但安全軟體開發商Bitdefender與火絨安全在其公告中認為此次擷取勒索病毒仍屬於「Petya」病毒變種。

參見

• WannaCry

參考資料

1. Decrypting the Petya Ransomware. Check Point Blog. 2016-04-11 [2017-06-27]. （原始內容存檔於2017-06-30）. 
2. 中了加密勒贖軟體Petya別緊張，專家釋出破解方法. ithome.com.tw. 2016-04-12 [2017-06-27]. （原始內容存檔於2017-07-01）. 
3. Global ransomware attack causes chaos. BBC News. 2017-06-27 [2017-06-27]. （原始內容存檔於2017-06-27）. 
4. 新型勒索病毒 Petya 在歐洲爆發並迅速蔓延！這次鎖定的目標是銀行、機場和公家機關電腦. T客龐德. PC home電腦家庭. 2017-06-27 [2017-06-27]. （原始內容存檔於2017-06-28）. 
5. 勒索病毒再攻击欧洲多国 乌克兰：规模前所未见. 中新社. 中國新聞網. 2017-06-27 [2017-06-27]. （原始內容存檔於2017-06-28）. 
6. 勒索病毒席捲歐洲 烏克蘭銀行癱瘓. 蘋果日報. 2017-06-28 [2017-06-28]. （原始內容存檔於2017-07-07）. 
7. WannCry惨剧重演 勒索病毒横扫欧美 比特币遭殃. 華爾街見聞. [2017-06-27]. （原始內容存檔於2017-07-08）. 
8. 快科技. 微软揭秘Petya勒索病毒背后真相：只感染了2万台电脑. 鳳凰資訊. [2017-07-01]. （原始內容存檔於2019-02-17）. 
9. Petya ransomware outbreak: Here’s what you need to know. Symantec Security Response. 2017-06-27 [2017-06-27]. （原始內容存檔於2017-06-29）. 
10. Lee, David. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-28]. （原始內容存檔於2019-08-17） （英國英語）. 
11. Constantin, Lucian. Petya ransomware is now double the trouble. NetworkWorld. [2017-06-27]. （原始內容存檔於2017-07-31）. 
12. Scherschel, Fabian A. Petya, Mischa, Goldeneye: Die Erpresser sind Nerds. Heise Online. 2016-12-15 [2017-07-03]. （原始內容存檔於2017-09-22） （德語）. 
13. Turner, Giles; Verbyany, Volodymyr; Kravchenko, Stepan. New Cyberattack Goes Global, Hits WPP, Rosneft, Maersk. Bloomberg. 2017-06-27 [2017-06-27]. （原始內容存檔於2019-11-05）. 
14. Tax software blamed for cyber-attack spread. BBC Newsv. 2017-06-28 [2017-06-28]. （原始內容存檔於2019-06-16）. 
15. Cyberattack Hits Ukraine Then Spreads Internationally. The New York Times. 2017-06-27 [2017-06-28]. （原始內容存檔於2017-06-27）. 
16. Lee, David. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-28]. （原始內容存檔於2019-08-17）. 
17. Burgess, Matt. There's another 'worldwide' ransomware attack and it's spreading quickly. Wired UK. [2017-06-27]. （原始內容存檔於2017-06-27）. 
18. Microsoft, Analysts See Hack Origin at Ukrainian Software Firm. Bloomberg. 2017-06-28 [2017-07-01]. （原始內容存檔於2017-06-28）. 
19. Jack Stubbs, Pavel Polityuk. Family firm in Ukraine says it was not responsible for cyber attack. Reuters. 2017-07-03 [2017-07-05]. （原始內容存檔於2017-07-04）. 
20. Hern, Alex. Hackers who targeted Ukraine clean out bitcoin ransom wallet. The Guardian. 2017-07-05 [2017-07-10]. ISSN 0261-3077. （原始內容存檔於2017-07-10） （英國英語）. 
21. A new ransomware outbreak similar to WCry is shutting down computers worldwide. Ars Technica. [2017-07-01]. （原始內容存檔於2017-06-30）. 
22. Frenkel, Sheera. Global Ransomware Attack: What We Know and Don’t Know. The New York Times. 2017-06-27 [2017-06-28]. （原始內容存檔於2017-06-27）. 
23. Ukrainian software company will face charges over cyber attack, police suggest. AP. 2017-07-03 [2017-07-10]. （原始內容存檔於2017-07-10） （澳大利亞英語）. 
24. Backdoor built in to widely used tax app seeded last week’s NotPetya outbreak. Ars Technica. [2017-07-10]. （原始內容存檔於2017-07-08） （美國英語）. 
25. Jack Stubbs, Matthias Williams. Ukraine scrambles to contain new cyber threat after 'NotPetya' attack. Reuters. 2017-07-05 [2017-07-07]. （原始內容存檔於2017-07-07）. 
26. New ransomware outbreak. Kaspersky Blog. Kaspersky Lab. [2017-06-27]. （原始內容存檔於2017-06-27）. 
27. Brandom, Russell. A new ransomware attack is hitting airlines, banks and utilities across Europe. The Verge. 2017-06-27 [2017-06-27]. （原始內容存檔於2017-07-02）. 
28. Goddin, Dan. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica: 1. 2017-04-14 [2017-05-13]. （原始內容存檔於2017-05-13）. 
29. India worst hit by Petya in APAC, 7th globally: Symantec. The Economic Times. 2017-06-29 [2017-06-29]. （原始內容存檔於2017-06-29）. 
30. Petya Ransomware Outbreak Originated in Ukraine via Tainted Accounting Software. BleepingComputer. [2017-06-29]. （原始內容存檔於2017-06-28） （美國英語）. 
31. Hatmaker, Taylor. In aftermath of Petya, congressman asks NSA to stop the attack if it knows how. Tech crunch. 2017-06-28 [2017-06-29]. （原始內容存檔於2017-06-29）. 
32. Petya.2017 is a wiper not a ransomware – Comae Technologies. Comae Technologies. 2017-06-28 [2017-06-29]. （原始內容存檔於2017-06-28）. 
33. Brandom, Russell. It’s already too late for today’s ransomware victims to pay up and save their computers. The Verge. 2017-06-27 [2017-06-28]. （原始內容存檔於2017-06-27）. 
34. Tuesday’s massive ransomware outbreak was, in fact, something much worse. Ars Technica. [2017-06-28]. （原始內容存檔於2017-07-17） （美國英語）. 
35. Cyber-attack was about data and not money, say experts. BBC News. 2017-06-29 [2017-06-29]. （原始內容存檔於2019-08-05） （英國英語）. 
36. Cimpanu, Catalin. Vaccine, not Killswitch, Found for Petya (NotPetya) Ransomware Outbreak. Bleeping Computer. [2017-07-16]. （原始內容存檔於2017-07-13）. 
37. Rogers, James. Petya ransomware: Experts tout 'vaccine' to protect computers from crippling cyber attack. Fox News. 2017-06-28 [2017-06-29]. （原始內容存檔於2017-06-28）. 
38. Security researcher creates 'vaccine' against ransomware attack. The Telegraph. [2017-06-29]. （原始內容存檔於2017-06-28）. 
39. Lee, Dave. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-29]. （原始內容存檔於2017-06-28）. 
40. Whittaker, Zack. Six quick facts to know about today's global ransomware attack. ZDNet. [2017-06-29]. （原始內容存檔於2017-06-29）. 
41. Warren, Tom. Microsoft issues ‘highly unusual’ Windows XP patch to prevent massive ransomware attack. The Verge. Vox Media. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-14）. 
42. A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks. Wired. [2017-06-29]. （原始內容存檔於2017-06-27）. 
43. Griffin, Andrew. Chernobyl's radiation monitoring system has been hit by the worldwide cyber attack. The Independent. 2017-06-27 [2017-06-27]. （原始內容存檔於2017-06-27） （英國英語）. 
44. Jacob Kastrenakes. Petya virus is something worse than ransomware, new analysis shows. theverge. 2017年6月28日 [2017年6月29日]. （原始內容存檔於2017年7月9日）. 
45. Scott, Mark; Perlroth, Nicole. New Cyberattack Spreads in Europe, Russia and U.S.. The New York Times. 2017-06-27 [2017-06-27]. ISSN 0362-4331. （原始內容存檔於2018-04-13） （美國英語）. 
46. 'Petya' Cyberattack Cripples Ukraine, And Experts Say It's Spreading Globally. NPR. 2017-06-27 [2017-06-27]. （原始內容存檔於2017-06-27） （英語）. 
47. Henley, Jon; Solon, Olivia. 'Petya' ransomware attack strikes companies across Europe and US. The Guardian. 2017-06-27 [2017-06-27]. ISSN 0261-3077. （原始內容存檔於2017-06-27） （英國英語）. 
48. Lieu, Ted. Letter to NSA director (PDF). House. [201-06-29]. （原始內容存檔 (PDF)於2017-07-06）.  請檢查|access-date=中的日期值 (幫助)
49. New computer virus spreads from Ukraine to disrupt world business. Reuters. 2017-06-29 [2017-06-29]. （原始內容存檔於2017-06-28）. 
50. 澎湃新聞網. 卡巴斯基：此轮病毒攻击并非“Petya”病毒变种. 網易科技. [2017-06-28]. （原始內容存檔於2019-02-17）.