Petya-esque勒索软件正在世界各地传播——Malwarebytes Labs | Malwarebyt必威平台APP必威官方登录备用es Labs

更新6/29/2017 1045 PST:根据Malwarebytes实验室发现的信息，我们已经确定必威官方登录备用必威平台APPransomware变体被编码为删除一个惟一的和随机生成的密钥，该密钥用于加密MFT(主文件表)。一旦Salsa20密钥被销毁，用户就不太可能收到有效的解密密钥——即使是在向攻击者支付赎金之后。因此，我们警告任何可能考虑支付赎金的受感染用户要小心。我们在Malwarebytes博客上创建了一个新条目，里面有最新发现的必威平台APP信息:永恒的彼佳和丢失的萨尔萨20钥匙

更新2017/2017 1653 PST:基于安全研究人员发布的信息，a乌克兰的会计软件公司叫Me Doc在格林尼治时间上午10:30左右发布了一个更新，在“零受害者”系统上安装了恶意软件。然后，使用PSExec、WMI和EternalBlue的混合，它能够传播到网络上的每一台计算机。Me Doc声称情况并非如此;但是，因此我们不能完全确认这是原始感染载体的来源。

你是正确的。给你，这不是我的工作。#petya.# NotPetya # CISO #方案 pic.twitter.com/dRnzZK1FVu

——约翰·洛克(@thedefensedude)2017年6月27日

在这一点上，最好(如果您正在运行任何Me Doc软件)不要更新该软件，直到他们宣布他们的服务器是干净的。

更新6/27/2017 1515 PST：研究人员发现了一种可能是目前版本的petya型勒索蠕虫的“疫苗”．你可以给它一个镜头，看看它是否适用于你，但请记住，基本上一旦被创建了相关的文章，这次攻击的创造者可能已经修改了他们的来源来否定防守。祝你好运！

更新6/27/2017 1430 pst:如果你正在考虑支付这种威胁的赎金 - 不要打扰。这托管地址的电子邮件服务被指示将受害者发送付款以关闭帐户．因此，在这一点上，试图支付赎金将导致返回的电子邮件。不幸的是，从支付中恢复文件现在已经不可能了，攻击者可能会为受害者提供其他形式的支付交易。

与WanaCrypt0r类似，一种名为Petya/NotPetya的新型勒索软件正在影响世界各地的用户，导致乌克兰、英国和西班牙的公司关闭。

背景

彼佳，在2016年7月创建的，开始作为利用A的下一代赎金仓库之一主引导记录(MBR)储物柜。在勒索软件出现的早期，改变系统启动方式的毒株很流行，但它们已经消失了很多年。今天，在其成立一周年后不久，Petya带着一种复仇和肮脏的新分配方法回来了。

至于这种恶意软件是否与我们过去已处理过的Petya，许多其他研究人员，包括我们自己，声称该恶意软件受到Petya创建者的严重影响，很可能是他们开发的。这种恶意软件的指示器和代码与以前版本的Petya相匹配，但有额外的功能。

卡巴斯基实验室的分析人士说，新的攻击不是公开报道的Petya勒索软件的变种，而是一种他们称之为NotPetya的新勒索软件pic.twitter.com/Uf8phx9Pkf

——帕特里克·豪威尔·奥尼尔(@HowellONeill)2017年6月27日

我们不会索取归因甚至确认我们正在处理的家庭，直到更多的分析已经完成，并且可以获得更多的证据。我们肯定可以说的是，这个赎金软件在野外很少看到策略。

感染向量

从Wannacry的书中拿出一页，这个新的赎金软件使用了同样的EterNalue SMB Exploit，它在爆发中使用了超过一个月前的爆发。目前还有报道，此攻击使用电子邮件垃圾邮件在努力中分发受感染的办公文档，以便迅速传播和分配赎金软件。此恶意软件还包括在具有管理凭据的系统上使用psexec的能力，允许它在网络上的任何系统上执行恶意软件的重复。

然而，并非所有这些报告都得到了Malwarebytes员工的确认，因此其真实的原始感染矢量超出了SMB开发的型在空必威平台APP中。但是，PSExec方法与EterNalBlue Exproit的组合使这种恶意软件能够在网络中传播的能力。