Petya披着“勒索”外衣 或是纯搞破坏性病毒

自6月27日在欧洲爆发起，Petya勒索病毒的变种(下称“Petya”)在短时间内袭击了多国。

360安全团队认为，Petya的攻击趋势在国内并不呈现几何级增长的趋势，而是缓慢下降的，并不具备进一步泛滥的趋势，但未来仍存在较高风险在国内传播。

值得注意的是，根据360安全团队的技术分析，Petya的加密密钥与勒索的用户ID没有任何关系，密钥在加密完成后就直接删除了。这意味着，即便受害者交赎金，病毒作者也无法解密恢复文件。

360反病毒专家安扬告诉记者，与普通勒索病毒利用暗网进行交易不同的是，Petya使用电子邮箱来完成赎金支付。在病毒爆发后，此邮箱很快被邮件服务商关闭。这个做法说明病毒作者可能并不关心能否收到赎金。

此外，Petya加密文件的类型以办公、开发和服务器环境为主，对虚拟机、源代码类型的文件格式覆盖很全，而不像其他勒索病毒一样会加密普通网民更关心的图片、视频等资料。

种种迹象表明，Petya很可能只是“披着勒索病毒外衣”的纯破坏性病毒。它的攻击目的也不是牟利，而是专门针对特定目标进行恶意破坏。

安扬告诉记者，从国内病毒攻击的目标来看，目前主要集中在国际贸易等跨国交流比较密切的行业中，但只有零星传播，并没有出现大面积扩散情况。

除乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模的Petya攻击外，我国也遭受了同样的攻击。针对我国的攻击，主要集中在北京、上海、广州、深圳、香港等大城市，根据360互联网安全中心的监测，在全中国八十多个城市拦截到了攻击。

此次黑客使用的是Petya勒索病毒的变种，使用的传播攻击形式和WannaCry类似，但该病毒除了使用了永恒之蓝(MS17-010)漏洞，还罕见的使用了黑客的横向渗透攻击技术。

在勒索技术方面与WannaCry等勒索软件不同之处在于，Petya木马主要通过加密硬盘驱动器主文件表(MFT)，使主引导记录(MBR)不可操作，通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动，故而其影响更加严重。如果想要恢复，需要支付价值相当于300美元的比特币。

由于这次攻击有很强的定向性，所以目前欧洲被感染的受害者较多。目前国内感染量较少，但是考虑到其横向攻击传播能力，未来存在较高风险在国内传播。

腾讯电脑管家据各种渠道统计汇总发现：国内用户发现少量被petya勒索病毒感染，主要是外资企业国内分支机构，分布在上海，深圳，天津，北京，广州等各城市。电脑管家截至到目前共发现并拦截185例peyta病毒攻击行为。