Petya勒索软件网络攻击削弱了欧洲，在美国传播得更慢

显然是在乌克兰播种的新的，高度致命的数据加扰软件爆发，周二在世界范围内造成了破坏。在5月份发生类似的攻击之后，新的网络攻击使一些医院，政府机关和大型跨国公司瘫痪，戏剧性地证明了恶意程序如何容易使日常生活停顿。

乌克兰和俄罗斯似乎受到新的勒索软件 (恶意软件) 的打击最大，这些恶意软件用所有牢不可破的加密锁定计算机文件，然后要求赎金释放。在美国，恶意软件影响了制药商默克 (Merck) 和Mondelez International等公司，后者是Oreo和Nabisco等食品品牌的所有者。

随着时间的流逝，它的步伐似乎变慢了，部分原因是恶意软件似乎需要计算机网络之间的直接联系，这一因素可能限制了其在与乌克兰连接较少的地区的传播。

恶意软件的起源尚不清楚。研究人员将该程序分开，发现其创建者从泄露的国家安全局代码中借来的证据，这增加了数字破坏使用美国纳税人资助的工具传播的可能性。

“病毒正在整个欧洲蔓延，恐怕它会危害整个世界，” 基辅Infosafe it首席执行官Victor Zhora说，当地时间周二下午早些时候，有关恶意软件的报道首次出现。

在乌克兰，受害者包括高层政府办公室，官员在那里张贴了变暗的计算机屏幕的照片，以及能源公司，银行，自动提款机，加油站和超市。基础设施部长Volodymyr Omelyan在Facebook帖子中说，乌克兰铁路和通讯公司Ukrtelecom是受到打击的主要企业。

该病毒袭击了乌克兰关闭的切尔诺贝利发电厂的辐射监测，切尔诺贝利发电厂是世界上最严重的核事故发生地，迫使其进行人工操作。包括全球律师事务所DLA piper和丹麦航运巨头Ap Moller-Maersk在内的跨国公司也受到了影响，尽管这些公司没有具体说明损害的程度。

另请阅读: 勒索软件攻击袭击了整个欧洲的计算机服务器

根据网络安全公司卡巴斯基实验室的研究人员的初步发现，乌克兰首当其冲的是60% 多次袭击，其次是俄罗斯的30% 多次袭击。它按顺序将波兰，意大利和德国列为受影响最严重的国家。

在美国，宾夕法尼亚州西部的两家医院遭到袭击; 患者在社交媒体上报道说，某些手术必须重新安排。Heritage Valley Health System的一位女发言人只会说必须进行操作更改。俄亥俄州韦尔斯维尔 (Wellsville) 的一名妇女在其一家医院切除胆囊，说她注意到计算机显示器关闭，护士四处乱窜，堆满了文书工作。

安全专家表示，周二的全球网络攻击与上个月爆发的勒索软件 (称为WannaCry) 有共同之处。两者都使用最初由NSA创建的数字锁签进行传播，后来由一个仍然神秘的组织Shadowbrokers发布到网络上。

包括Bitdefender和Kaspersky在内的安全供应商表示，NSA的漏洞被称为EternalBlue，可使恶意软件在公司和其他大型组织的内部网络中迅速传播。微软在3月份发布了安全修复程序，但安全公司Veracode的首席技术官Chris Wysopal表示，只有对网络上的每台计算机都进行了修补，这才有效-否则，一台受感染的计算机可能会感染所有其他计算机。

乌克兰网络警察在推特上写道: “一旦激活，病毒就可以自动自由地在你的网络上传播。”

Bitdefender的分析师Bogdan Botezatu将这种自我传播的软件与传染病进行了比较。他说: “这就像有人在满是人的火车上打喷嚏。”

proofpoint的安全专家Ryan Kalember表示，攻击似乎正在放缓的一个原因是，勒索软件似乎只有在两个网络之间存在直接联系时才会传播，例如当一家全球公司的乌克兰办事处与总部互动时。

但是，一旦它击中网络上的计算机，它就会迅速传播，即使在已应用NSA漏洞修复程序的计算机中也是如此。

Kalember说: “它影响的组织更有害，但因为它不像WannaCry那样在互联网上随机传播，它在某种程度上被包含在相互联系的组织中。”

Botezatu说，新计划似乎与GoldenEye几乎相同，GoldenEye是已知的劫持人质计划家族的变体，称为 “petya”。它要求300美元的比特币。

Kalember说，与典型的勒索软件 (仅对个人数据文件进行加密) 不同，该程序在周二造成的严重破坏会覆盖计算机的主启动记录，这使得即使已备份的计算机也很难恢复。

根据该国网络警察部门的推文，它可能首先通过流氓更新传播到一个名为MEDoc的乌克兰会计软件。它说，流氓更新在整个乌克兰播种了感染。在发布给Facebook的冗长声明中，MEDoc承认已被黑客入侵。

恶意软件背后的动机仍然未知。乌克兰一直是亲俄罗斯黑客的持续目标，他们被指责在冬季死亡时两次关闭其大部分电网，并破坏其选举系统，以破坏2014年5月的全国大选。

周二发送到赎金要求底部的地址的电子邮件未退回。这可能是因为托管该地址的电子邮件提供商柏林的posteo在感染广为人知之前就拔掉了该帐户的插头。

在一封电子邮件中，posteo代表表示，在得知该电子邮件地址与勒索软件相关后，它 “立即” 屏蔽了该电子邮件地址。该公司补充说，它正在与德国当局联系，“以确保我们做出正确的反应。”