当万纳克里勒索软件在5月份席卷英国和欧洲时，破坏程度的加剧有一定的逻辑。勒索软件攻击并不是什么新鲜事，但这一次有一种秘密武器，一种被称为永恒蓝（ternalblue）的复杂软件攻击，由影子经纪人在4月份发布，据信是由美国****局（NSA）开发的。这是一种国家级的武器，用来对付柔软的平民目标，比如用艾布拉姆斯坦克抢劫小镇银行。如果你在寻找它是如何传播得如此之快的答案，你不必看得太远。

现在，仅仅一个多月后，一种新的勒索软件已经造成了类似的破坏，几乎没有火力。作为Petya勒索软件家族的一个变种，该病毒已经感染了全世界数千个系统，包括马士基、俄罗斯石油公司和默克等大型跨国公司，但它使用的原材料少得多。Petya仍在使用EternalBlue，但到目前为止，许多目标组织都受到了保护，而这种利用对勒索软件传播的重要性要小得多。相反，Petya利用我们运行网络的方式中更基本的漏洞，更关键的是，提供补丁。它们不像国安局的攻击那样吸引眼球，但它们更强大，而且在试图从今天的攻击中恢复的过程中，可能会让组织陷入更加困难的境地。

在WannaCry专注于修补不好的系统的地方，Petya似乎在大型企业网络中受到了最严重的打击，病毒的传播方式部分解释了这种模式。一旦网络上的一台计算机被感染，Petya就利用Windows网络工具，如Windows Management Instrumentation（WMI）和PsExec来感染同一网络上的其他计算机。

这两种工具通常用于远程管理访问，但安全研究员莱斯利·卡哈特（Lesley Carhart）说，攻击者经常利用它们在受损网络中传播恶意软件。”WMI是一个超级有效的黑客横向移动方法。它经常被允许和内置，所以很少被安全工具记录或阻止Psexec更为轻视，更受监控，但仍然非常有效。”

即使是针对永恒蓝漏洞进行修补的网络有时也容易受到来自网络内部的攻击。据F-Secure的肖恩·沙利文（Sean Sullivan）称，这与之前的Petya袭击是一致的，以往的袭击目标都是可能迅速支付赎金的大公司。”沙利文说：“这是一个以企业为目标的组织，你让他们发现了一个完美的利用机会来锁定企业。”

更令人不安的是，佩蒂娅最初是如何进入电脑的。根据塔洛斯情报公司的研究，勒索软件可能是通过一个被称为MeDoc的乌克兰会计系统的虚假更新传播的。MeDoc否认了这些指控，但其他一些组织也同意塔洛斯的调查结果，指出有效载荷中似乎有伪造的数字签名。如果这个签名是有效的，它会给攻击者一个干净的方式进入几乎任何运行该软件的系统。

这也解释了佩蒂亚在乌克兰留下的沉重脚印：多达60%的感染者在乌克兰，包括该国的中央银行和最大的机场。

这已经不是黑客第一次利用自动更新系统来传递恶意软件了，尽管这种攻击通常仅限于民族国家。2012年，Flame恶意软件破坏了Windows update进程，向伊朗境内的目标交付恶意软件，许多人将这一行动归咎于美国**。2013年对韩国银行和电视台的攻击也通过受损的内部配线系统传播开来。

纽约大学的安全研究员justincappos致力于保护补丁程序，作为更新框架的一部分，他说这些潜在的缺陷非常普遍。组织通常无法验证更新，或者对底层密钥的保护不够。同时，破坏软件更新是破坏系统的最有效方法之一。

卡波斯说：“这就像是袭击者的圣杯。”这一软件在每台计算机上都有，它通常使用管理员访问权限运行，它建立的传出连接往往是加密的，它绕过了任何防火墙。”