全新勒索病毒Petya是什么
全新勒索病毒Petya是什么
WannaCry剛走,Petya就來(lái)了(局域網(wǎng)也能傳播更夸張),這個(gè)病毒目前正在全球爆發(fā),其中烏克蘭、俄羅斯受害最嚴(yán)重。全新勒索病毒Petya是什么?Petya勒索病毒怎么預(yù)防?下面學(xué)習(xí)啦準(zhǔn)備告訴大家Petya勒索病毒預(yù)防方法。
全新勒索病毒Petya是什么
有技術(shù)大拿對(duì)Petya分析后發(fā)現(xiàn),這個(gè)全新的勒索病毒依然是使用了“永恒之藍(lán)”(EternalBlue)漏洞,這也是它能像WannaCry一樣快速傳播的主因。
此外,需要注意的是,Petya病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū),當(dāng)電腦重啟時(shí),病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦,執(zhí)行加密等惡意操作。
相比WannaCry來(lái)說(shuō),這次Petya勒索病毒做的更狠,不聯(lián)網(wǎng)局域網(wǎng)中也能傳播,當(dāng)然黑客這么做也是想要勒索到更多的錢財(cái),但是讓他們崩潰的是,到目前位置其只收到29筆贖金,價(jià)值7497美元(約合5.1萬(wàn)元)。
考慮到勒索病毒波及的廣度,Petya黑客恐怕要?dú)獾耐卵恕?/p>
對(duì)于這樣的勒索,專家警告即使你付了贖金,可能也拿不回被鎖的文檔,畢竟發(fā)動(dòng)攻擊的可不是什么好人。同時(shí),這些資金可能還會(huì)資助黑客發(fā)動(dòng)下一輪攻擊。
最搞笑的是,有支付勒索費(fèi)用的用戶吐槽,Petya的贖金支付系統(tǒng)做的實(shí)在是太爛了。
實(shí)際上,Petya 勒索軟件在 2016 年 3 月份已經(jīng)出現(xiàn),與其它常見的勒索軟件不同,除了加密文件外,它還加密系統(tǒng)的主引導(dǎo)記錄。這一“雙管齊下”致使磁盤無(wú)法被訪問,而且大多數(shù)用戶都無(wú)法恢復(fù)任何內(nèi)容。
昨天發(fā)現(xiàn)的這一新變種還采用了一個(gè)多月之前爆發(fā)的 WannaCry 的傳播機(jī)制,從而進(jìn)一步加大了其破壞力。Petya 以一個(gè)只有一個(gè)未命名導(dǎo)出的 Windows DLL 的形式出現(xiàn),并使用同樣的“永恒之藍(lán)”漏洞利用技術(shù)來(lái)試圖感染遠(yuǎn)程機(jī)器,如下圖所示。我們可以看到在發(fā)動(dòng)漏洞利用攻擊之前的典型操作,和 WannaCry 類似。
一旦這一漏洞利用攻擊成功,惡意軟件將會(huì)自我復(fù)制到遠(yuǎn)程機(jī)器的 C:\Windows 目錄下,然后使用 rundll32.exe 自我啟動(dòng)。這一進(jìn)程是在被永恒之藍(lán)漏洞利用包注入的 Windows 進(jìn)程 lsass.exe 下執(zhí)行。
由于之前 WannaCry 的大規(guī)模爆發(fā)使得許多公司部署了最新的 Windows 補(bǔ)丁,因此,Petya 引用了一些新的傳播機(jī)制來(lái)使攻擊的成功率更高。其中一個(gè)方法是是試圖將自己和一個(gè) psexec.exe 的副本復(fù)制到遠(yuǎn)程機(jī)器的 ADMIN$ 文件夾。如果成功,那么 Petya 就能借助一個(gè)遠(yuǎn)程調(diào)用將 psexec.exe 作為一項(xiàng)服務(wù)啟動(dòng),如下圖所示:
上圖顯示了正在將該 DLL 復(fù)制到遠(yuǎn)程主機(jī)。下圖則顯示了正在復(fù)制 psexec,且正在試圖使用 svcctl 遠(yuǎn)程過(guò)程調(diào)用來(lái)啟動(dòng) psexec。
兩個(gè)文件都復(fù)制到 C:\Windows 文件夾。
Petya 新變種所使用的另一個(gè)方法是借助盜取的用戶憑據(jù),使用 Windows 管理規(guī)范命令行 (WMIC) 在遠(yuǎn)程機(jī)器上直接執(zhí)行該樣本。Petya 所使用的命令類似下面的命令行:
●exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\%s\” #1
“%ws” 代表一個(gè)寬字符串變量,根據(jù)當(dāng)前的機(jī)器及被利用的用戶憑據(jù)來(lái)生成。
一旦該惡意軟件在機(jī)器上運(yùn)行,它將會(huì)把 psexec.exe 投放到本地系統(tǒng),成為 c:\windows\dllhost.dat,并將另一個(gè) .EXE(根據(jù)操作系統(tǒng)不同,分別為 32 位或 64 位版本)加入到 %TEMP% 文件夾。這一二進(jìn)制文件是某個(gè)密碼恢復(fù)工具的修改版本,類似于 Mimikatz 或 LSADump。
上述代碼顯示了在密碼提取過(guò)程中使用的 LSA 函數(shù)。
此 .EXE 以一個(gè) PIPE 名稱作為參數(shù),類似于下面的內(nèi)容:
●\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}
這一 PIPE 被 Petya 用來(lái)接收竊取的密碼,這些密碼將被用于上面提到的 WMIC。
所有這些文件都以壓縮格式存在主 DLL 的資源部分,如下圖所示:
隨后,Petya 新變種將加密本地文件及 MBR,并安裝一個(gè)計(jì)劃任務(wù)在使用 schtasks.exe 一小時(shí)后重新啟動(dòng)機(jī)器。如下圖所示:
Petya 新變種所使用的加密技術(shù)是帶有 RSA 的 AES-128。這一點(diǎn)與之前的變種不同,它們使用的是 SALSA20。用于加密文件加密密鑰的RSA公鑰是硬編碼的,如下圖所示:
該惡意軟件還試圖通過(guò)清除事件日志來(lái)隱藏其蹤跡,執(zhí)行的命令如下:
●wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
在機(jī)器重啟后,一個(gè)隨機(jī)的信息將會(huì)出現(xiàn)在屏幕上,索取價(jià)值 300 美元的比特幣:
截止到目前,此帳戶只收到少數(shù)交易,但可以預(yù)見,隨著更多的人發(fā)現(xiàn)自己被攻擊后,將會(huì)有越來(lái)越多的交易:
下一頁(yè)更多精彩的“Petya勒索病毒怎么預(yù)防”