不同于传统勒索软件加密文件的行为，“必加”（Petya）是一个采用磁盘加密方式，进行敲诈。其早期版本只对MBR和磁盘分配表进行加密，并谎称全盘加密。其目前版本是否能完成全盘加密，安天分析小组尚在验证之中。

鉴于初始爆发地区的地缘敏感性、具备一定强度的扩散能力和所处的特殊攻击时点，安天目前认为这次事件不能完全排除是单纯经济目的的恶意代码攻击事件，亦不能直接判断是针对特定地区的定向攻击。我国在“魔窟”（WannaCry）应急工作中打下了良好基础，现阶段该病毒尚未在我国大面积传播，但其复合的传播手段具有较大安全风险。

2 传播机理

在汇集了多方威胁情报后，样本间直接的关系仍不明确的情况下，经过对部分关键样本文件的跟进分析发现，这次攻击是勒索病毒“必加”（Petya）的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。从推理分析来看，该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放，之后释放Downloader来获取病毒母体，形成初始扩散节点，之后通过MS17-010（永恒之蓝）漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力，对内网安全总体上比此前受到广泛关注的“魔窟”（WannaCry）有更大的威胁，而多种传播手段组合的模式必将成为勒索软件传播的常态模式。