新勒索病毒｜攻击性已达“准网络战级别”，乌克兰受损最严重

5月爆发的WannaCry（“想哭”）勒索病毒冲击还未远去，一种被认为是Petya病毒变种的新勒索病毒又开始在全球肆虐。据外媒报道，从27日起，英国、乌克兰、俄罗斯、丹麦等地都已经爆发这种新病毒，其中乌克兰的情况最严重，大量商业银行、私人公司、电信运营商、政府部门系统、首都基辅的鲍里斯波尔国际机场都受到了攻击。

准网络战级别的攻击

网络安全研究学者肖文告诉澎湃新闻（www.thepaper.cn），通过对本次事件跟踪分析发现，此次的病毒和5月席卷全球的WannaCry都是蠕虫病毒，也是利用Windows系统SMB漏洞进行攻击和传播。国内网络安全企业安天安全研究与应急处理中心分析认为，此次病毒属于Petya勒索病毒的变种，该病毒通过采用磁盘加密方式进行敲诈，其早期版本只对MBR和磁盘分配表进行加密，并谎称全盘加密。

肖文表示，虽然Petya和WannaCry都是蠕虫性质的勒索病毒，但两者的在传播上存在差异。不像传统的蠕虫病毒那样自由扩散，Petya病毒本身在互联网扩散是比较弱的，其扫描策略基于所感染机器的网段进行扫描，没有跨网传播特性，目的不是形成大规模的互联网传播。

国内网络安全企业安天安全研究与应急处理中心分析认为，此次的新病毒疑似采用了邮件、下载器和蠕虫的组合传播方式，是一次相对复杂的攻击行动。在肖文看来，组合传播方式的特性意味该病毒比WannaCry扩散速度更快和广泛，并且邮件钓鱼的方式令广大用户更加难以防范。根据最近的消息，新病毒变种的传播速度达到每10分钟感染5000余台电脑，欧洲多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷，甚至乌克兰副总理的电脑也遭到感染。

目前，遭受攻击最严重的国家是乌克兰，许多关键基础设施都遭到了攻击。“从此次勒索病毒事件中工具的使用、扩散、攻击和危害来看，可以算是一次准网络战级别的攻击。如果是在军事冲突或战争时期，攻击的强度会更大，攻击的范围也会更大，后果不堪设想。”肖天告诉澎湃新闻。

鉴于初始爆发地区的地缘敏感性、具备一定强度的扩散能力和所处的特殊攻击时点，安天分析认为，这次事件无法直接判断是针对特定地区的定向攻击，不能完全排除是单纯经济目的的恶意代码攻击事件，有可能复合行为，也有可能是以勒索为掩护的行为。

网络攻击主导源头还无法确定

人们在积极防御新病毒攻击的同时，再次抛出每次遭受病毒攻击后的问题——谁是病毒攻击的幕后黑手？此次Petya病毒变种大范围攻击事件的幕后黑手仍然不明，不过，这个新病毒爆发的源头正在指向乌克兰政府和企业通用的一款会计软件。

全球多家知名网络安全公司分析称，乌克兰会计软件MeDoc可能被用于最初的感染源。乌克兰网络警察确认了这一消息，但这家乌克兰公司否认了这一说法。

根据目前的信息，乌克兰会计软件MeDoc只是感染源，并不是攻击源，也就是说MeDoc也是受害者。

“一些媒体报道称，Petya这一具有地缘特点的名字能够缩小外界的猜测范围。”肖天告诉澎湃新闻，“这种观点存在一些漏洞，攻击者有可能使用一个地缘特点比较强的名字干扰大家判断，因此，从目前的信息来看，不宜过早下结论。”

Petya一词一说为东欧女性的名字，来自斯拉夫语系；同时其更被作为一款前苏联的轻型护卫舰的名字。可以说，这个恶意代码从开始就展示出一定的地缘特点。

对蠕虫病毒的来源确定是一个世界性的难题，过去有找到过蠕虫作者的案例，但都付出了巨大的社会成本。由于网络行为可以使用代理和隐藏IP等多种手段，甚至一次行动可能迂回十几次，因此，确定此次网络攻击主导源头非常困难。