每當有一個新的惡意軟體出現，就會有很多問題發生......但有些問題又不知該從何問起！別擔心！以下我們已整理出關於新型勒索軟體的常見問與答，讓您得以一解所有疑惑。
 
Q. 這起Petya新型勒索軟體爆發究竟是什麼事件？
在2017-06-27，許多國家的不同組織都相繼報導了一系列關於這起新型勒索軟體的資訊。這個惡意軟體的名稱有點混亂，被稱為Petya、GoldenEye、WannaCry2、NotPetya、PetrWrap和PetyaWrap。
Sophos透過名稱Troj / Ransom-EOB來偵測這個惡意軟體的主檔案，但在本文中，我們將其通俗稱為PetyaWrap以方便於解說。
 
Q. 為何會稱為PetyaWrap？
這項新型勒索軟體核心幾乎與2016年被稱為Petya的現有勒索軟體相同。與大多數勒索軟體不同的是，攻擊本身就會加密某些檔案類型，然後感染機器主開機記錄，所以下一次電腦啟動硬碟開機就會被加密。
 
PetyaWrap變種比原生的Petya勒索軟體更強大。PetyaWrap包含了其他概念和元件，運用其他惡意程式(如GoldenEye和WannaCry)重新包裝成一個新型的勒索軟體變種。
 
Q. PetyaWrap運用什麼樣的惡意軟體技術？
如同WannaCry一樣，PetyaWrap是一個能夠自行傳播的電腦蠕蟲。PetyaWrap可以自行複製，然後自動啟動新副本，而不用等待用戶點擊網路連結、開啟附件或下載檔案。
和GoldenEye一樣，PetyaWrap會加密您的資料檔案，只有攻擊者能提供解密金鑰，所以您無法透過其他方式對檔案進行解密。
另外，PetyaWrap與原始的Petya惡意軟體一樣，會干擾您對C槽磁碟機的存取。
 
Q. PetyaWrap如何在我的網路上傳播？
首先，其會藉由和WannaCry相同的安全性漏洞進行傳播。如果您在受攻擊之前已更新過Microsoft釋出的安全性更新，則就可防堵PetyaWrap這部分的攻擊。其次，會透過Microsoft的PS exec工具竊取管理員憑證來感染網路上的其他電腦，這項工具一般是用於遠端的故障排除，但時常被網路罪犯誤用在惡意行為之上。
 
請注意，如果受感染的電腦沒有足夠帳戶權限在其攻擊目標上執行指令的話，則會無法利用此方式做執行。第三，PetyaWrap會在記憶體中窺探尋找密碼，以提高存取權限，並授予其對網路上其他電腦的管理存取權限。
 
Q. 只做安全性更新是否足夠安全？
不足夠。如上所述，PetyaWrap有三個傳播技術，WannaCry技術只是其中之一。如果第一個WannaCry漏洞利用不成功，其還會嘗試後面兩種方法，所以安全性更新是需要的，但還不夠安全。
 
Q. Sophos產品可以阻擋PetyaWrap使用的傳播技術嗎？
可以。
包含WannaCry蠕蟲代碼的主要PetyaWrap程式會被封鎖為惡意程式(Troj / Ransom-EOB) 。
PsExec惡意技術程式會被封鎖為潛在不需要的應用程式（PUA）
第三個傳播技術的窺探工具會被封鎖為惡意程式(Troj / Mimikatz-A) 。
 
Q. Sophos產品是否可以阻擋勒索軟體元件對檔案和磁碟的干擾？
可以。
Sophos Intercept X（和Sophos Home Premium Beta）包括主動的惡意軟體阻擋工具，用於偵測、阻擋和修復勒索軟體活動。
CryptoGuard能偵測並封鎖PetyaWrap的檔案干擾部分。
WipeGuard能偵測並封鎖PetyaWrap的磁區干擾部分。
 
Q. 如果支付贖金，是否就可以取得資料？
這點我們不敢保證。另外，罪犯所提供的電子郵件位址已失效，因此即使願意，您目前也無法與他們達成協議。
 
Q. PetyaWrap是否可以透過網際網路傳播，像WannaCry一樣？
有相似之處但不盡相同。WannaCry有兩項主要散布功能：一個用來掃描區網嘗試在本地傳播；另一個在網際網路上隨機尋找新的受害者。PetyaWrap並沒有明確嘗試在網際網路上尋找受害者，而主要目標是放在區域網路。
雖然，PetyaWrap沒有設計刻意在網際網路上傳播，但有互通網路出現時，其也沒有設計為僅限於原網路而不做跨越的活動。還有一個重點是，PetyaWrap使用內建於Windows中的網路工具，如果您可以從電腦瀏覽到合作夥伴公司的伺服器，那麼PetyaWrap就可以做到同樣的事情。
 
Q. PetyaWrap疫情是如何展開的？
這一點我們不是很肯定。據說早期的爆發似乎是源自於一家開發稅務會計軟體的烏克蘭公司，公司更新伺服器的一個漏洞可能讓罪犯有機可趁，進而造成最初期的感染浪潮。Microsoft也表示公司自動更新程式的駭客版本可能與早期的PetyaWrap爆發有關。
 
Q. PetyaWrap是否有出現在任何的網路釣魚郵件？
目前我們尚未接獲PetyaWrap有透過網路釣魚郵件傳播勒索軟體的資訊。但千萬不要疏於防範！因為網路釣魚郵件是惡意軟體(包含勒索軟體)十分慣用的傳播管道。
 
Q. 後續有何對策？
像PetyaWrap這樣的勒索軟體，即使是在受限制的用戶上也可能會造成很大的損害，因為大多數用戶都具有讀取、寫入和修改自己檔案的權限。但是，任何惡意軟體，尤其是像PetyaWrap這樣的網路蠕蟲，如果能夠獲得管理員權限，那麼就會更加危險。所以即使您沒有被PetyaWrap爆發所侵害，您還是需要留意網路上允許的相關操作權限。
 
以下為建議您參閱的檢查事項：
●查閱所有網域和本地管理員帳戶，更新容易遭破解的密碼。如果您不測試自己的密碼長度，那麼罪犯就會下手為您測試。
●查閱哪些工作人員擁有或可以獲取其他用戶的電腦或網域的管理員權限。如果有發現具有不需要的權限，請告知IT並將其移除，這是為了確保他人與自身的安全。
●不要讓IT人員登錄或執行任何具有管理員權限的軟體，除非他們有明確需要。一旦他們完成了相關的管理任務，就應該將權限恢復，儘管這會帶來不便。
●檢查是否有內部網路共享連通到網際網路上。如果您不檢查自己的網路，那麼罪犯就會幫您檢查。
 
確認相關安全設定是否維持正常運作，不要因先前已配置過就認為一切都如往常一樣沒被異動過。
 
如您對SOPHOS產品想瞭解更多，歡迎洽詢SOPHOS台灣專業代理商 - 湛揚科技02-27353512，我們會提供您產品介紹與免費測試，讓您快速體驗SOPHOS強大有效的防護能力！
更多產品資訊，請上湛揚科技SOPHOS專區http://www.t-tech.com.tw/SOPHOS.php 。
 
原文出處：New Petya ransomware: everything you wanted to know (but were afraid to ask)