新勒索病毒｜源头或始于乌克兰一会计软件，公司先承认后否认

6月27日爆发的新勒索病毒的幕后黑手仍然不明，不过，这个新病毒爆发的源头正在指向乌克兰一款会计软件。

全球多家知名网络安全公司分析称，乌克兰会计软件MeDoc可能被用于最初的感染源。乌克兰网络警察确认了这一消息，但这家乌克兰公司否认了这一说法。

当天，一种新型高传染性的电脑病毒在欧洲和美国引发大面积感染。俄罗斯、乌克兰、波兰、法国、意大利、英国、德国、美国等均已出现遭受该病毒感染的情况。其中，乌克兰和俄罗斯被感染的情况最为严重。据美联社报道，卡巴斯基实验室提供的数据显示，两国遭受的网络攻击分别约占此次事件的60%和30%。

专家与网警将矛头指向同一来源

据美国福布斯网站27日报道，卡巴斯基实验室全球研究与分析团队的首席安全专家哥斯塔夫（Aleks Gostev）表示，日志显示乌克兰会计软件MeDoc是此次新勒索病毒源头。思科系统公司旗下的网络安全团队Talos也表示，MeDoc很有可能被用于最初的感染源。微软则表示，MeDoc的升级程序引起了一部分病毒感染情况。

曾成功阻止5月勒索病毒“想哭”（WannaCry）的安全研究员马库斯·哈钦斯（Marcus Hutchins）在名为“恶意软件博客”的个人推特账号上表示，MeDoc这一大型会计软件被黑客攻克，黑客通过软件更新，推出了恶意软件。

乌克兰网络警察27日在“推特”官方账号上发帖表示，MeDoc的漏洞导致了大量乌克兰企业受攻击。不过，乌克兰网警后来表示，病毒也有可能通过钓鱼邮件传播。

多家媒体报道称，MeDoc公司27日曾一度在网站上发布用户通知称，“我们的服务器遭遇了病毒攻击。我们很抱歉给您带来不便！”但澎湃新闻（www.thepaper.cn）查询时，这一页面已经失效。

MeDoc公司已在官方“脸书”主页上用乌克兰语发表长篇声明，否认了软件是病毒源头的传言，称这一结论“显然错误”。声明称，它们是一家负责任的企业，监控着软件代码的安全性，并且与大型企业签订协议，向它们提供文件以便分析，确认安全。

MeDoc声明称，据称造成问题的软件更新是在2017年6月22日发布的，当时并没有用户感染病毒，而此次勒索病毒爆发的高峰期在6月27日。因此，在22日发布的更新不可能存在病毒。

多家受感染企业或使用该软件

据MeDoc官方网站，该软件可供企业管理纳税相关文件，同时也可供个人使用。该软件的客户包括大中小各类企业，其中包括乌克兰移动运营商LifeCell、乌克兰通讯公司VegaTelecom、德国邮政快递公司DHL、欧洲汽车租赁企业ALD Automotive等。

一些受害机构可能确实使用了MeDoc软件。卡巴斯基实验室的哥斯塔夫在个人推特上表示，这一软件在乌克兰政府和企业中广泛使用。此外，德国邮政的乌克兰分支此次也遭到了病毒攻击。澎湃新闻还注意到，丹麦航运巨头Maersk于6月27日在航运求职网站Job2Sea上发布招聘会计师的启事，其中要求候选人有使用MeDoc等软件的经验。

然而，专家们仍然不确定为何病毒也攻击了不太可能使用MeDoc软件的外国企业。譬如美国制药企业默克集团、跨国律师事务所DLA Piper等。

据中新网报道，通过对本次事件跟踪分析发现，攻击事件中的病毒属于Petya勒索者的变种Petwrap，病毒使用 Microsoft Office/WordPad 远程执行代码漏洞（CVE -2017-0199）通过电子邮件进行传播，感染成功后利用永恒之蓝漏洞，在内网中寻找打开445 端口的主机进行传播。