NotPetya：史上最昂贵的网络攻击

2026年2月25日 • 2 min read

Network

2017 年 6 月底，乌克兰发生了一件事：乍一看像“又一次常规勒索软件”。电脑重启，文件突然不可用，屏幕上出现勒索提示。

但几个小时之后就很清楚了：这不是局部事件，而是一场野火。

这个名字就是 NotPetya。直到今天，它依然代表着：看起来像“一波普通恶意软件”，却可以演变成让全球企业停摆、造成数十亿美元损失的灾难。

这篇文章我想把两件事串起来：

NotPetya 的故事：当时发生了什么，为什么会这么贵？
实用视角：对今天的“普通公司”意味着什么，而不仅仅是 Fortune 500？

NotPetya 最让人不舒服的点，并不是它“太复杂”。最不舒服的是：它非常现实。

为什么我会在 2026 写这篇？因为今天我们讨论 AI 驱动的深度伪造钓鱼，但真正出事的时候，我们依然会在和 2017 一样“无聊的基本功”上翻车：缺少分段，以及和生产系统连在同一条“生命线”上的备份。

5 分钟看懂 NotPetya：发生了什么？

先把关键事件按顺序排一下。

在 2017 年 6 月 27 日，NotPetya 先在乌克兰出现，并极快地扩散到全球。一个核心原因是乌克兰广泛使用的会计软件（M.E.Doc）更新被投毒。恶意软件不是靠“某个员工点错链接”进入，而是利用企业每天都会信任的机制：更新。

很多人回头看会忽略一点：这本质上是一次 供应链攻击（Supply Chain Attack）。M.E.Doc 不是随机目标，而是一个完美杠杆，因为更新天然会被“信任”。

今天的教训很不舒服，但必须接受：你可以把内部 IT 管得很严，但只要会计/供应商/ERP 连接器/第三方工具的更新被污染，你照样会中招。供应链风险并不只是“云的问题”，它非常具体：是更新的问题。

一旦 NotPetya 进入网络，重点就不再是单台终端，而是 Lateral Movement（横向移动）：

通过 SMB 和已知漏洞（包括 EternalBlue / MS17-010，据称源于 NSA 工具集泄漏的 exploit），NotPetya 能在无需用户交互的情况下扩散到其他 Windows 系统。
同时，它使用凭据转储（Mimikatz/LSASS）从内存中提取密码/哈希，然后用真实管理员凭据继续移动。
远程执行则使用“正常的运维工具”（例如 PsExec/WMI）。这组组合的危险之处在于：在日志里它一开始可能看起来像“正常运维”。

这就是它的“秘方”：用 exploit 快速跳到新机器，用内存里的凭据拿到真实权限，再用系统自带工具把规模拉起来。

关键点：只靠打补丁并不够。 即使某台机器已经修补了 EternalBlue，只要恶意软件在网络里拿到了有效的管理员凭据/哈希，那台机器仍然可能会倒下。

NotPetya 还利用了时间：它内置了延迟，不会立刻触发“爆炸”（重启/擦除），而是过一段时间才强制执行。这会显著干扰检测，同时也是经典的反沙箱手法：你看到它没立刻“爆”，但它已经在后台扩散。

结果就是我们在这类事件中总会看到的样子：

一开始只有少量系统“怪怪的”。
然后某个站点突然整体崩掉。
如果你不能极快做出强硬响应（断网、封禁账号、关闭分段边界），它就可能跨站点蔓延。

为什么“勒索软件”只是伪装

NotPetya 因为显示勒索信息而被当成勒索软件，但从技术和实际效果上，它是另一种东西。

关键点：NotPetya 本质上更像 wiper。 它的目的不是“赚钱”，而是破坏系统、让业务停摆。

这不是文字游戏。在事件响应里差别巨大：

传统勒索软件（有时）还存在通过密钥或谈判恢复数据的可能。
wiper 的目标是“毁掉”。你转账比特币也救不回来。

NotPetya 还有一个技术细节把 wiper 属性写得更“死”：它会 覆盖 MBR（Master Boot Record），并 加密 MFT（Master File Table）。甚至“勒索软件”部分的实现也有缺陷：显示的安装 ID 是随机生成的，并没有正确关联到可用的解密密钥。换句话说：技术上基本没有回头路。

这正是它阴险的地方：它把很多企业一开始带进了错误的流程。你以为该跑“勒索软件剧本”，但其实要跑的是“灾备恢复剧本”。

它更偏向破坏而非盈利，也与后续的归因一致：多个政府公开将 NotPetya 归因于俄罗斯国家行为体。

100 亿美元：为什么会这么贵？

如果你只看“勒索软件”的标签，损失很难理解：“不是从备份恢复就行了吗？”

现实里，最贵的不是恶意软件本身，而是停机。NotPetya 打在一个在预算讨论里经常被忽视的点上：可用性。

生产线停摆
物流回到纸笔
身份与域需要重建
应用、集成与依赖连环倒下
而且是多个系统同时发生

因此 NotPetya 常被称为“史上最昂贵的网络攻击”，一些报告估算总损失约 100 亿美元。

你也能从单个企业的披露看到这一点：Merck、FedEx（含 TNT Express）和 Mondelez 都明确说明，这不是“IT 问题”，而是对营收、成本与交付能力的业务冲击。

NotPetya 还引发了巨大的法律后续：企业与保险公司发生争议。一些保险公司试图以“Act of War”（国家主导的战争行为）为由拒赔。Mondelez 与其保险公司的纠纷是最知名的例子之一。对企业而言，教训非常现实：你的网络保险到底覆盖不覆盖国家行为？还是会在关键时刻触发战争除外条款（war exclusion）？

给专业读者的更新：Mondelez 案在 2023 年最终了结。此后（以及在 NotPetya 之后更广泛的范围里），很多保单的条款被明显收紧：对“国家动机”攻击的定义更窄，或直接明确排除。这让网络保险变成一个 实打实的财务风险：不看懂条款，就等于没看懂风险。

另外别低估依赖关系：哪怕你“只是恢复 IT 系统”，现实里也会被各种依赖拖住。

Maersk 是最典型的案例之一：这不是“几个文件被加密”，而是必须重建核心系统、身份与运营 IT，港口与物流才可能恢复运转。

而它的故事之所以传奇，是因为它展示了身份与备份的脆弱：Maersk 几乎丢失了整个全球 Active Directory——只剩下加纳的一台域控（Domain Controller）因为停电刚好离线而幸存。这个“Lucky Punch”成了一个无意的离线备份：靠这台实体服务器，他们得以重建全球 AD 并加速恢复。

最终，这不是只影响“IT”，而是直接打到业务上：

食品企业：生产、计划与供应链停摆
航运企业：集装箱不动
制药企业：制造、质量流程与交付能力承压

这就是为什么数字会这么大：勒索界面只是症状，真正的损失是停机。

更贴近现实的场景：我在普通公司会预期的事件

我想刻意描述一个不“好莱坞”的案例。不是“国家对决大厂”，而是中型企业里非常可能发生的情形。

想象一家中型公司：

一个总部、一个小分部
典型 Windows 架构：AD、文件服务器、几台 VM、ERP
再加一些“出于各种原因没人敢动”的系统：设备控制、老旧专用软件、某台“Windows Server 2008 之类的”，因为厂商从没升级
有备份：每天到 NAS，每周再到一个第二系统

很多人会低估一个事实：

这家公司并不是因为“不专业”才安全差。而是因为 运营与时间总会赢。

补丁被推迟，因为生产排期很紧。分段被放到“以后再做”，因为 VLAN 很费事。本地管理员密码是历史包袱。 NAS 当然在线，因为离线恢复太麻烦。

时间线（现实、不夸张）

周二早上，一个更新进来了。可能是供应商、服务商工具、连接器——任何会自动更新的东西。或者是某个通过 VPN 访问的合作伙伴系统被入侵了。

08:10：部分客户端开始不稳定，这里重启、那里报错
08:25：第一台文件服务器变慢，工单飙升
08:40：突然“域不对劲”，登录变慢，组策略异常
09:00：管理员登录“看一眼”，这往往是横向移动加速的时刻
09:20：一个站点基本离线

还有一件事，通常只有事后才真正理解：

如果这个时刻你不立刻强硬隔离，损失不是线性增长，而是指数级增长。

然后就会出现那个永恒的问题：

“要不要付钱？”

NotPetya 的残酷答案是：就算你想付，八成也不是解决方案。心理上这会很难，因为你必须立刻切换到“重建”而不是“解密”。

拖得越久，需要重建的系统越多。需要重建的系统越多，应急运行越久。应急运行越久，成本越高。

真正“疼”的地方

几个小时后你会明白：这不是“恢复几个文件”。这是“重建 Active Directory 和核心系统”。

然后你发现：

备份在线，可能也一起被打掉了
文档不更新
“黄金镜像”不足，无法快速重装
管理员凭据到处都是
从来没人演练过“30 分钟内把一个站点切干净”

这就是 IT 事件变成企业危机的时刻。

SOC 今天会怎么做（以及 AI 的角色）

在大型 Security Operations Center（SOC）里，每天会汇入来自大量来源的海量事件。这早已不是“管理员看防火墙日志”，而是一个工业化流程：传感、关联、自动化以及人类分析。

有意思的是分工：

AI/自动化作为第一线： 分流、关联、识别模式、过滤显而易见的告警
人作为第二/第三线： 关键或不明确的事件由分析师接手、决策与协调响应

这听起来像“只有大公司才有”，但对小公司同样有意义：

你不需要自己建 SOC。但你需要同样的思路：

收集信号（EDR、防火墙、认证日志）
定义“正常”
建立能在分钟级响应的流程

现实是：NotPetya 在 2017 年就已经快到人类根本跟不上。AI 的价值更多不是“更快”，而是更早在噪声中发现异常（例如凌晨 03:00，突然有 500 台机器想通过 SMB 相互通信）。这些分钟决定结局：更早发现、更早收敛、更早隔离。

然后，还有一个我越来越常见的默认心态：

Assume breach.

按“攻击者已经在里面”去设计。不是偏执，而是务实。

我认为今天的最低配置（不靠企业级预算）

如果只带走一个结论，那就是：

NotPetya 不是“一个漏洞”。 NotPetya 是一串弱点互相放大。

好消息是：也正因为如此，一些基本功能显著降低风险。

1) 补丁与暴露面管理（认真对待）

Windows 关键更新（尤其 SMB 相关）不能“以后再说”
任何对外暴露的东西优先
必须保留遗留系统的话，至少要分段隔离、规则清晰

2) 让横向移动变得“难受”

分离账号（日常 vs 管理）
每台设备唯一的本地管理员密码（LAPS）
不要让 WMI/PsExec 这类远程管理工具到处都能用
只在真正需要的地方开放 SMB

3) 分段，但要务实

你不需要立刻把 Zero Trust 做到“完美”。但至少：

客户端、服务器、备份、OT/生产不要混在一个扁平网络
域控是 Tier 0，要按 Tier 0 保护
东西向流量需要和互联网流量同等重视

4) 备份：离线、不可变、可恢复验证

我用在项目里反复见到的一句话说：

一个永远在线、永远可写的备份，关键时刻往往不算备份。

3-2-1 是一个好起点
不可变存储（或离线介质）是 game changer
必须做恢复演练：不是“我们有备份”，而是“我们练过恢复”

5) 事件手册与站点“kill switch”

你不需要 80 页的手册。但你需要清晰：

谁来决定断开一个站点？
如何快速封禁账号？
哪些系统优先恢复（AD、DNS、DHCP、VPN、ERP）？

而且这必须演练，否则出事时用不上。

Reality check：在 NotPetya 里，很多时候最有效的措施不是“再加一个工具”，而是 物理切断。关于 Maersk 有说法是员工直接在办公室里跑来跑去，把交换机上的电源/网线拔掉来阻止扩散。听上去很原始，但当每一秒都重要时，这可能就是最好的“高科技”。

结语

对我来说，NotPetya 依然是最能说明“安全不是装个杀毒就结束”的案例之一。

它之所以毁灭性，并不是因为“魔法”。而是因为它打在非常普通的薄弱点上：

对更新的信任
横向移动太容易
分段不足
备份离生产网络太近

也正因为如此，它对“普通公司”依然高度相关。

如果你今天要投资，不要只投资工具，也要投资韧性：可见性、快速响应，以及把系统干净恢复的能力。这就是“非常糟糕的一天”和“一个再也追不回来的季度”的差别。

来源与延伸阅读

下次见， Joe