卡巴斯基實(shí)驗(yàn)室研究人員發(fā)現(xiàn)一種新的名為PetrWrap的惡意軟件家族。該家族的惡意軟件使用了之前Petya勒索軟件的模塊，并且通過(guò)勒索軟件服務(wù)平臺(tái)進(jìn)行傳播，針對(duì)各類(lèi)組織和企業(yè)實(shí)施針對(duì)性攻擊。PetrWrap的編寫(xiě)者在Petya勒索軟件的基礎(chǔ)上制作和修改了一個(gè)特殊的“動(dòng)態(tài)”模塊，這種未授權(quán)使用讓Petya的原作者也束手無(wú)策。這很可能是一種跡象，表明地下勒索軟件市場(chǎng)的競(jìng)爭(zhēng)日益加劇。

2016年5月，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)Petya勒索軟件不僅能夠加密存儲(chǔ)在計(jì)算機(jī)上的數(shù)據(jù)，還能夠重寫(xiě)硬盤(pán)的主引導(dǎo)記錄(MBR)，造成受感染計(jì)算機(jī)無(wú)法啟動(dòng)到操作系統(tǒng)。這種惡意軟件采用了典型的惡意軟件服務(wù)模式，即勒索軟件編寫(xiě)者根據(jù)需求提供惡意產(chǎn)品，并通過(guò)多個(gè)渠道傳播這種惡意軟件，然后從中獲取一部分收益。為了獲取到這部分收益，Petya的編寫(xiě)者在惡意軟件中插入了特定的“保護(hù)機(jī)制”，避免他人未授權(quán)使用Petya樣本。PetrWrap木馬作者的惡意行為最早于2017年初被發(fā)現(xiàn)，這種惡意軟件的作者突破了Petya的防護(hù)機(jī)制，找到一種可以使用Petya的手段，同時(shí)不需要向Petya作者支付一分錢(qián)。

目前，還不清楚PetrWrap是如何進(jìn)行傳播的。感染后，PetrWrap啟動(dòng)Petya來(lái)加密受害者的數(shù)據(jù)，之后勒索受害者支付贖金。PetrWrap作者使用了自己的私匙和公匙，并沒(méi)有使用Petya自帶的密匙。這表示，如果受害者支付了贖金，PetrWrap惡意軟件使用著無(wú)需使用Petya作者的私匙就可以解密受害者的計(jì)算機(jī)。

很明顯，PetrWrap的開(kāi)發(fā)者選擇Petya并非出于偶然：Petya家族的勒索軟件具有相當(dāng)完美的加密算法，很難被破解，而加密算法又是勒索軟件中最重要的組件。過(guò)去發(fā)生的多起案例中顯示，有些勒索軟件的加密算法存在漏洞，能夠讓安全研究人員找到解密文件的辦法，從而讓網(wǎng)絡(luò)罪犯的所有努力都前功盡棄。之前版本的Petya勒索軟件就出現(xiàn)過(guò)這種情況，之后，該勒索軟件的作者修復(fù)了幾乎所有漏洞。所以，當(dāng)受害者的計(jì)算機(jī)被最新版的Petya攻擊后，數(shù)據(jù)加密非?？煽浚瑹o(wú)法被破解。這也就是為什么PetrWrap選擇使用Petya的加密算法的原因。不僅如此，被PetrWrap勒索軟件感染后，受害者計(jì)算機(jī)上的鎖定屏幕不會(huì)提到任何有關(guān)Petya的信息，讓安全專(zhuān)家很難判斷情況，無(wú)法快速識(shí)別出攻擊中使用的勒索軟件家族。

卡巴斯基實(shí)驗(yàn)室反勒索軟件高級(jí)安全研究員Anton Ivanov說(shuō):“我們看到，網(wǎng)絡(luò)罪犯開(kāi)始互相吞食。從我們的角度來(lái)看，這是勒索軟件組織之間競(jìng)爭(zhēng)加劇的跡象。理論上來(lái)說(shuō)，這是一件好事。因?yàn)榫W(wǎng)絡(luò)罪犯之間越是互相斗爭(zhēng)，他們的組織性就越差，他們發(fā)動(dòng)的惡意攻擊行動(dòng)的效果也將大打折扣。真正令人擔(dān)憂的是，PetrWrap勒索軟件被用于針對(duì)性攻擊。這并不是勒索軟件首次被用于針對(duì)性攻擊，當(dāng)然，也絕對(duì)不是最后一次。我們督促各類(lèi)組織和企業(yè)密切關(guān)注這種威脅，保護(hù)自己的網(wǎng)絡(luò)抵御這種威脅，因?yàn)橐坏└腥?，結(jié)果將是災(zāi)難性的。”

為了保護(hù)企業(yè)和組織抵御這類(lèi)攻擊，卡巴斯基實(shí)驗(yàn)室安全專(zhuān)家給出以下建議：

正確和及時(shí)備份數(shù)據(jù)，這樣即使遭遇數(shù)據(jù)丟失事件，也可以利用備份恢復(fù)原始數(shù)據(jù)。

使用具有基于行為檢測(cè)技術(shù)的安全解決方案。這些技術(shù)能夠監(jiān)控程序在系統(tǒng)上的行為，攔截惡意軟件，包括勒索軟件，還可以發(fā)現(xiàn)之前未知的勒索軟件樣本。

對(duì)控制網(wǎng)絡(luò)進(jìn)行安全評(píng)估(即安全審計(jì)、滲透測(cè)試和縫隙分析)，發(fā)現(xiàn)和消除安全漏洞。如果外部供應(yīng)商和第三方安全策略能夠直接訪問(wèn)你們的控制網(wǎng)絡(luò)，也需要對(duì)他們進(jìn)行安全評(píng)估。

請(qǐng)求外部情報(bào)：來(lái)自信譽(yù)可靠的供應(yīng)商的安全情報(bào)信息能夠幫助企業(yè)和組織預(yù)測(cè)未來(lái)攻擊。

對(duì)員工進(jìn)行安全培訓(xùn)，尤其要提高操作人員以及工程人員的安全意識(shí)，提到他們對(duì)最新威脅和攻擊的警惕性。

在企業(yè)和組織的安全便捷內(nèi)外提供保護(hù)。正確的安全策略需要將大量資源用于攻擊檢測(cè)和反饋，從而在攻擊入侵重要的對(duì)象之前，將其攔截。

要了解更多關(guān)于PetrWrap勒索軟件詳情，請(qǐng)?jiān)L問(wèn)Securelist.com上的相關(guān)博文。

請(qǐng)?jiān)L問(wèn)NoRansom.kaspersky.com 獲取我們?yōu)閹椭账鬈浖芎φ唛_(kāi)發(fā)的工具。