欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

有关Petya勒索软件,你想知道的都在这里

来源:本站整理 作者:佚名 时间:2017-06-29 TAG: 我要投稿

昨晚21时左右,乌克兰遭受Petya勒索程序大规模攻击。包括首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。实际上Petya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。
Petya看来大有与前不久WannaCry争辉的意思。这款病毒到底有什么特性能够让乌克兰乃至全球的众多商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击呢?
病毒概况
部分安全公司包括赛门铁克都认为,这次的勒索程序就是Petya的一个变种。不过卡巴斯基实验室的研究指出,该勒索程序不能认为是Petya的变种,它只是与Petya在字符串上有所相似,所以卡巴斯基为其取名为“ExPetr”(还有研究人员将其称为NotPetya、Petna或者SortaPetya)。卡巴斯基在其报告中表示未来还会对ExPetr进行更为深入的分析。鉴于绝大部分媒体和许多安全公司仍然将其称作Petya,本文也不对二者进行区分。
去年Petya出现时,我们就曾报道过这款勒索软件,至少从其行为模式来看与本次爆发的勒索程序还是存在很多相似之处的:
Petya释放的文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。
与传统的勒索软件不同的是,Petya并非逐个加密单个文件,而是加密磁盘的MFT,并且破坏MBR,使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。
重启电脑后,病毒会显示一个磁盘扫描界面,但实际上,这个界面是用来伪装Petya会正在进行的磁盘加密操作。

下图就是加密完成后,Petya所显示的界面:

“当您看到这段文字的时候,你的文件已经被加密无法读取了。你可能在寻找恢复文件的方法,但是不要浪费时间了,除了我们没人能恢复。”
病毒要求感染者支付300美元的赎金解密文件。
“请按以下要求操作:
1. 发送价值300美元的比特币到以下地址:1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
2. 发送你的比特币钱包ID和个人安装密钥到wowsmith123456@posteo.net。你的个人安装密钥如下:XXXXX。”
想要了解本次Petya变种技术细节的同学可以点击这里查看腾讯的详细解读。
小编查询发现,截至6月28日发稿前,这个比特币地址一共收到36笔转账,获得3.6367比特币,约合人民币61438元。

而根据VirusTotal的扫描结果,61款杀毒软件中仍有16款没有检测出Petya。

传播方式
国外媒体报道称,受到Petya影响最大的地区是乌克兰。而来自思科Talos、ESET、卡巴斯基实验室等来源的分析,黑客首先攻击了M.E.Doc,这是一家乌克兰的会计软件厂商。随后黑客通过M.E.Doc的更新服务器将一个恶意推送推给用户。用户更新软件时,便感染了病毒——这可能是Petya传播较为广泛的一种途径,但最初的传播方式可能仍然不确定。
M.E.Doc今天早晨承认更新服务器遭到攻击,但否认传播了病毒。

注意:
我们的服务器正遭受病毒攻击。
给您带来的不便敬请谅解。
另外,我们还从其它来源了解到更多的传播方式,如Petya还釆用了RTF漏洞(CVE-2017-0199)进行钓鱼攻击,能够利用微软Office和写字板进行远程代码执行。微软在今年4月已经发布了针对这个漏洞的补丁。不过也有安全厂商认为CVE-2017-0199跟此次事件没有直接关系,也并非最初始的感染源头,如微步在线的研究:
感染源头是CVE-2017-0199漏洞吗?
根据我们捕获的样本分析,并没有发现相应依据。
目前多家安全公司报道称此次攻击是利用携带CVE-2017-0199漏洞附件的钓鱼邮件进行投放,该样本(SHA256:FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206)执行后下载myguy.xls(SHA256:EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6)文件,进一步该样本会请求域名french-cooking.com,下载新的Payload (SHA256:120d1876883d4d2ae02b4134bcb1939f270965b7055cb4bdbd17dda1d4a4baa2),经过微步在线确认,该样本为LokiBot家族,并非Petya家族(注:此样本会请求域名COFFEINOFFICE.XYZ进行进一步的恶意行为),跟此次事件没有直接关系,也并非最初始的感染源头。
但病毒的可怕之处不仅如此,还在于在感染电脑之后的进一步传播。
Petya利用了“永恒之蓝”漏洞,这个存在于Windows SMBv1协议中的漏洞帮助WannaCry病毒在72小时内感染了全球30万台电脑。同样地,微软也发布了对应补丁。
Petya的传播特性相比WannaCry有过之而无不及。除了上述的传播方式,Petya还想了一些其他的办法进行传播。
首先Petya会在已经感染的系统中寻找密码,再想办法入侵其他系统。前NSA分析员David Kennedy称,Petya会尝试在内存或者本地文件系统中提取密码。
然后,Petya会利用PsExec和WMI。PsExec原本是用来在其他系统上执行某些操作的工具,而Petya把它用来在其他电脑执行恶意代码。如果受感染的电脑拥有整个网络的管理权限,整个网络中的电脑都可能被感染。WMI也是如此。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载