Petya

Petya是一種在2016年被首次發現的勒索軟體^[2]。2017年6月，Petya的一個新變種「NotPetya」被用於發動一次全球性（英語：Global issue）的網路攻擊。^{[3][4][5][6][7][8]}

Petya要求受害者支付贖金

Petya

Petya原版有效負載顯示的ASCII藝術骷髏畫[1]
別名	GoldenEye NotPetya
分類	特洛伊木馬
感染系統	勒索軟體
子類型	密碼病毒（英語：Cryptovirology）
感染系統	Windows

被Petya攻擊的電腦

此次攻擊類似在2017年5月爆發的WannaCry勒索攻擊，兩者都利用同一個已修復的Windows安全漏洞——EternalBlue（永恆之藍）。^[9]烏克蘭可能是此次事件中遭受最嚴重影響的國家。^[3]有觀點認為此次網路攻擊是對烏克蘭的一次政治目的的攻擊^[10]，論據是6月28日為烏克蘭人的公眾假期憲法日。^[10]

背景

Petya於2016年3月發現^[11]；Check Point指出，相較於CryptoWall等2016年初活躍的其他蠕蟲病毒，感染數目要少，且執行過程中有值得注意的差別，導致Petya「進入蠕蟲病毒進化下一步時立即衰弱」^[1]。2016年5月發現的另一個Petya變體附帶輔助的有效負載，若惡意軟體無法實現管理員層級的訪問時便會生效^[11]。

名字Petya、Mischa和Goldeneye源於1995年詹姆士·龐德電影《黃金眼》。影片中，Petya和Mischa是武器衛星，每顆衛星都攜帶在低地球軌道引爆產生電磁脈衝的原子彈「黃金眼」。德國報紙《海因茨海斯（英語：Heinz Heise）》注意到疑似惡意軟體作者的Twitter帳戶，用了《黃金眼》中由英國演員艾倫·康明扮演的大反派、俄羅斯駭客鮑里斯·基里申科（Boris Grishenko）的圖片作頭像^[12] 。

2017年6月27日，全球大規模爆發了利用Petya新變種的網路攻擊，最先表示受到攻擊的是烏克蘭公司^[3]。當天，卡巴斯基實驗室報道稱法國、德國、義大利、波蘭、英國和美國都出現感染，但大部分感染都針對俄羅斯和烏克蘭，當中烏克蘭超過80家公司最先遭受攻擊，包括烏克蘭國家銀行^[3][13]。ESET估計，80%的感染都出現在烏克蘭，位列第二的德國只有9%的感染^[14]。俄羅斯總統弗拉基米爾·普丁新聞秘書德米特里·佩什科夫表示俄羅斯受到的破壞並不嚴重^[14]。專家認為，由於事發時機選在烏克蘭憲法日假期前夕，所以屬於針對烏克蘭的有政治動機的襲擊^[15][16]。

卡巴斯基把這一變種稱為「NotPetya」，和早期的變種相比，NotPetya運作時差別極大。McAfee工程師克里斯蒂安·貝克（Christiaan Beek）聲稱該變體被設計得傳播特別快，目標「完全是能源公司、電力網、汽車站、加油站、機場和銀行」等基礎設施^[3][17]。

芬氏安全分析師米科·赫佩根（英語：Mikko Hyppönen）認為，「似乎事實上」被感染的烏克蘭納稅申辦程式「M.E.Doc」的修補程式在該國開展業務的公司之間傳播惡意軟體^[14][18][19]。ESET分析發現，更新系統存在的後門在襲擊前至少存在六個星期，稱襲擊是「深思熟慮且乾淨利落的行動」^[20]。程式開發商否認他們要對襲擊負全責，表示他們也是受害者^{[18][21][22][23]}。

2017年7月4日，烏克蘭網路犯罪部門查繳了「M.E. Doc」公司的伺服器，據認為，他們偵測到的「新活動」會引起惡意軟體「不受控制的擴散」。警方建議軟體使用者停止使用，假定它依然存在後門^[20][24]。分析繳獲伺服器，發現自2013年軟體沒有更新過，有「俄羅斯插手的證據」，伺服器上的員工帳戶已經被攻陷。部門負責人警告稱，M.E.Doc維護伺服器安全時疏忽大意，要附上刑事責任^[25][23][20]。

運作

Petya利用有效負載感染電腦的主開機紀錄（MBR），覆蓋Windows引導程式，隨後觸發重新啟動。下次重新啟動，有效負載執行，加密NTFS檔案系統的主檔案表，顯示要求支付比特幣贖金的勒索資訊^[26][11][27]。在此過程中會輸出據信是Windows檔案系統掃描器chkdsk的文字，顯示在螢幕上，暗示正在修復硬碟機磁區^[1]。原本的有效負載需要使用者授予其管理權限，但Petya的一個變體捆綁了另一個有效負載Mischa，如果Petya無法安裝，Mischa就會執行。Mischa是更加傳統的勒索軟體有效負載，用途是加密使用者文件和可執行檔，並不需要管理權限來執行^[11]。Petya的初級版本會將它的有效負載偽裝成PDF檔案，附在電子郵件中^[11]。

2017年攻擊中使用的「NotPetya」變體使用了「永恆之藍」漏洞占據Windows伺服器訊息區塊協定的安全隱患。普遍認為，永恆之藍由美國國家安全局開發^[27]，於2017年4月的WannaCry攻擊事件中被公之於眾^[28][27]。該惡意軟體採用多項技術傳播給同一網路下的其他電腦，其中包括收集密碼，配合PSExec在其他本地電腦上執行代碼^[29][30][31]。另外，儘管仍然是勒索軟體，但是加密程式被修改，惡意軟體所做的變更無法從技術層面上恢復^[32]。WannaCry的解鎖費用相對較低，為300美元，使用單一固定的比特幣錢包收集贖金，而不是對每個特定的感染產生唯一的ID進行追蹤^[33]。連同其他不尋常的跡象，相比之下，研究人員推測，這番攻擊並不是一場創造利潤的風投活動，而是為了迅速損壞裝置，岔開WannaCry聲稱為勒索軟體而獲得的媒體關注度^[34][35]。

減弱

受感染的電腦在出現虛假的chkdsk螢幕時立即關閉，很有可能會中斷感染過程。安全分析師推測，在Windows安裝目錄中建立名為「perfc」或（含）「perfc.dat」的唯讀檔案可以阻止目前的有效載荷執行^{[36][37][38][39]}。勒索螢幕上出現的電子郵件位址因違反使用條款，被提供商Posteo（英語：Posteo）封號。結果受感染的使用者實際上無法向犯罪者傳送所需的支付確認信^[33]。

微軟在2017年3月已經向受支援的Windows版本發布修補程式解決永恆之藍漏洞。隨後又在2017年5月向Windows XP等不受支援的Windows版本發布修補程式^[40][41]。《連線》雜誌認為「儘管Petya迄今為止造成的損害程度非常的大，但似乎很多推遲推出修補程式程式，儘管類似的勒索程式傳播有著明顯且潛在的破壞性威脅^[42]。」有些企業認為，基於可能的停機時間或相容性問題在某些系統上安裝更新也具有破壞性，這在某些情形下可能是有問題的^[40]。

2017年7月5日，因為NotPetya肆虐，Petya作者在mega.nz釋出了金鑰，參照1995年詹姆士·龐德電影《黃金眼》的『They're right in front of you and can open very large doors(他們就在你的前面，你可以用來打開任何的門)』。

影響

烏克蘭、俄羅斯、波蘭、義大利、德國、法國、英國、美國等許多國家在此次事件中遭受到攻擊。^[3]烏克蘭和俄羅斯受到的影響最大，兩國有超過80家公司遭到攻擊。^[13]

車諾比核電站的輻射監測系統在遭到攻擊後離線。^[43]烏克蘭的多個部門、銀行、地鐵系統和多家國有企業也受到影響，其中包括：鮑里斯波爾國際機場、烏克蘭電信、烏克蘭郵政、烏克蘭國家儲蓄銀行（英語：State Savings Bank of Ukraine）、烏克蘭鐵路。^[44]

其他受影響的公司包括：英國廣告公司WPP集團^[45]、Maersk Line^[46]，美國製藥公司默克藥廠，俄羅斯石油公司俄羅斯石油，跨國律師事務所DLA Piper^[45]，西班牙食品公司億滋國際，法國建築公司聖戈班，以及美國的醫院運營商Heritage Valley Health System等。^[3][47]

反應

歐洲刑警組織稱已意識到並且緊急回應歐盟成員國遭到網路攻擊的報告。^[13]美國國土安全部已介入並協調其國際和地區合作方^[46]。民主黨國會議員劉雲平致函國家安全局^[48]，讓該機構更為積極地和科技公司合作尋找軟體漏洞，幫助他們預防未來由國安局製造的惡意軟體引發的襲擊^[31][49]。

命名爭議

卡巴斯基實驗室2017年6月27日的聲明認為此次攻擊中使用的惡意程式並非「Petya」病毒變種，而是一種新型勒索病毒，他們將其命名為NotPetya。^[50]但安全軟體開發商Bitdefender與火絨安全在其公告中認為此次擷取勒索病毒仍屬於「Petya」病毒變種。

參見

• WannaCry