昨晚21時(shí)左右,烏克蘭遭受Petya勒索程序大規(guī)模攻擊。包括首都基輔的鮑里斯波爾國際機(jī)場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊。實(shí)際上Petya波及的國家還包括英國、印度、荷蘭、西班牙、丹麥等。
Petya看來大有與前不久WannaCry爭輝的意思。這款病毒到底有什么特性能夠讓烏克蘭乃至全球的眾多商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊呢?
病毒概況
部分安全公司包括賽門鐵克都認(rèn)為,這次的勒索程序就是Petya的一個(gè)變種。不過卡巴斯基實(shí)驗(yàn)室的研究指出,該勒索程序不能認(rèn)為是Petya的變種,它只是與Petya在字符串上有所相似,所以卡巴斯基為其取名為“ExPetr”(還有研究人員將其稱為NotPetya、Petna或者SortaPetya)。卡巴斯基在其報(bào)告中表示未來還會對ExPetr進(jìn)行更為深入的分析。鑒于絕大部分媒體和許多安全公司仍然將其稱作Petya,本文也不對二者進(jìn)行區(qū)分。
去年P(guān)etya出現(xiàn)時(shí),我們就曾報(bào)道過這款勒索軟件,至少從其行為模式來看與本次爆發(fā)的勒索程序還是存在很多相似之處的:
Petya釋放的文件向磁盤頭部寫入惡意代碼,被感染系統(tǒng)的主引導(dǎo)記錄被引導(dǎo)加載程序重寫,并且加載一個(gè)微型惡意內(nèi)核。接著,這個(gè)內(nèi)核開始進(jìn)行加密。
與傳統(tǒng)的勒索軟件不同的是,Petya并非逐個(gè)加密單個(gè)文件,而是加密磁盤的MFT,并且破壞MBR,使得用戶無法進(jìn)入系統(tǒng)。當(dāng)電腦重啟時(shí),病毒代碼會在Windows操作系統(tǒng)之前接管電腦,執(zhí)行加密等惡意操作。
重啟電腦后,病毒會顯示一個(gè)磁盤掃描界面,但實(shí)際上,這個(gè)界面是用來偽裝Petya會正在進(jìn)行的磁盤加密操作。
下圖就是加密完成后,Petya所顯示的界面:
“當(dāng)您看到這段文字的時(shí)候,你的文件已經(jīng)被加密無法讀取了。你可能在尋找恢復(fù)文件的方法,但是不要浪費(fèi)時(shí)間了,除了我們沒人能恢復(fù)。”
病毒要求感染者支付300美元的贖金解密文件。
“請按以下要求操作:
1. 發(fā)送價(jià)值300美元的比特幣到以下地址:1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
2. 發(fā)送你的比特幣錢包ID和個(gè)人安裝密鑰到wowsmith123456@posteo.net。你的個(gè)人安裝密鑰如下:XXXXX。”
想要了解本次Petya變種技術(shù)細(xì)節(jié)的同學(xué)可以點(diǎn)擊這里查看騰訊的詳細(xì)解讀。
小編查詢發(fā)現(xiàn),截至6月28日發(fā)稿前,這個(gè)比特幣地址一共收到36筆轉(zhuǎn)賬,獲得3.6367比特幣,約合人民幣61438元。
而根據(jù)VirusTotal的掃描結(jié)果,61款殺毒軟件中仍有16款沒有檢測出Petya。
傳播方式
國外媒體報(bào)道稱,受到Petya影響最大的地區(qū)是烏克蘭。而來自思科Talos、ESET、卡巴斯基實(shí)驗(yàn)室等來源的分析,黑客首先攻擊了M.E.Doc,這是一家烏克蘭的會計(jì)軟件廠商。隨后黑客通過M.E.Doc的更新服務(wù)器將一個(gè)惡意推送推給用戶。用戶更新軟件時(shí),便感染了病毒——這可能是Petya傳播較為廣泛的一種途徑,但最初的傳播方式可能仍然不確定。
M.E.Doc今天早晨承認(rèn)更新服務(wù)器遭到攻擊,但否認(rèn)傳播了病毒。
注意:
我們的服務(wù)器正遭受病毒攻擊。
給您帶來的不便敬請諒解。
另外,我們還從其它來源了解到更多的傳播方式,如Petya還釆用了RTF漏洞(CVE-2017-0199)進(jìn)行釣魚攻擊,能夠利用微軟Office和寫字板進(jìn)行遠(yuǎn)程代碼執(zhí)行。微軟在今年4月已經(jīng)發(fā)布了針對這個(gè)漏洞的補(bǔ)丁。不過也有安全廠商認(rèn)為CVE-2017-0199跟此次事件沒有直接關(guān)系,也并非最初始的感染源頭,如微步在線的研究:
感染源頭是CVE-2017-0199漏洞嗎?
根據(jù)我們捕獲的樣本分析,并沒有發(fā)現(xiàn)相應(yīng)依據(jù)。
目前多家安全公司報(bào)道稱此次攻擊是利用攜帶CVE-2017-0199漏洞附件的釣魚郵件進(jìn)行投放,該樣本(SHA256:FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206)執(zhí)行后下載myguy.xls(SHA256:EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6)文件,進(jìn)一步該樣本會請求域名french-cooking.com,下載新的Payload (SHA256:120d1876883d4d2ae02b4134bcb1939f270965b7055cb4bdbd17dda1d4a4baa2),經(jīng)過微步在線確認(rèn),該樣本為LokiBot家族,并非Petya家族(注:此樣本會請求域名COFFEINOFFICE.XYZ進(jìn)行進(jìn)一步的惡意行為),跟此次事件沒有直接關(guān)系,也并非最初始的感染源頭。
但病毒的可怕之處不僅如此,還在于在感染電腦之后的進(jìn)一步傳播。
Petya利用了“永恒之藍(lán)”漏洞,這個(gè)存在于Windows SMBv1協(xié)議中的漏洞幫助WannaCry病毒在72小時(shí)內(nèi)感染了全球30萬臺電腦。同樣地,微軟也發(fā)布了對應(yīng)補(bǔ)丁。
Petya的傳播特性相比WannaCry有過之而無不及。除了上述的傳播方式,Petya還想了一些其他的辦法進(jìn)行傳播。
首先Petya會在已經(jīng)感染的系統(tǒng)中尋找密碼,再想辦法入侵其他系統(tǒng)。前NSA分析員David Kennedy稱,Petya會嘗試在內(nèi)存或者本地文件系統(tǒng)中提取密碼。
然后,Petya會利用PsExec和WMI。PsExec原本是用來在其他系統(tǒng)上執(zhí)行某些操作的工具,而Petya把它用來在其他電腦執(zhí)行惡意代碼。如果受感染的電腦擁有整個(gè)網(wǎng)絡(luò)的管理權(quán)限,整個(gè)網(wǎng)絡(luò)中的電腦都可能被感染。WMI也是如此。不幸的是,上述的這兩種方法并沒有相應(yīng)的補(bǔ)丁,所以理論上即便是完整補(bǔ)丁的Windows電腦還是可能被感染。
專家建議暫時(shí)關(guān)閉WMIC功能。
病毒影響
烏克蘭在此次攻擊事件中受到的影響最大,包括首都基輔的鮑里斯波爾國際機(jī)場(Boryspil International Airport)、烏克蘭國家儲蓄銀行(Oschadbank)、船舶公司(AP Moller-Maersk)和烏克蘭一些商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊。
烏克蘭最大的國有貸款機(jī)構(gòu)之一 ——國家儲蓄銀行(Oschadbank)稱,部分銀行服務(wù)受到“黑客攻擊”影響,全國3650個(gè)網(wǎng)點(diǎn)和2850臺ATM受到影響,民眾無法取錢,但客戶數(shù)據(jù)目前尚且安全。
烏克蘭東北部哈爾科夫的一家超市
烏克蘭副總理Rozenko Pavlo在Twitter發(fā)布的政府電腦被感染的圖片(亮點(diǎn)好像很多)
除此之外,俄羅斯國有的石油公司Rosneft也遭受了打擊。其他受影響的國家包括英國、印度、荷蘭、西班牙、丹麥等。
鹿特丹港口
印度某公司
基于Petya更強(qiáng)大的傳播特性,病毒可能會繼續(xù)傳播到其他國家。
卡巴斯基的感染量統(tǒng)計(jì)
防范方法
感染前
首先,要養(yǎng)成安裝更新的習(xí)慣,Petya傳播中用到的兩個(gè)途徑是已經(jīng)有補(bǔ)丁的。而且養(yǎng)成安裝更新的習(xí)慣對任何病毒都有效。
其次,來自Cybereason的安全研究人員Amit Serper找到了阻止Petya持續(xù)感染計(jì)算機(jī)的方法——Petya會首先搜索某個(gè)本地文件,如果說該文件存在,則退出加密過程。研究人員發(fā)現(xiàn)了一種免疫方法:
只需要在 C:\Windows 文件夾下建立名為 perfc 的文件,并將其設(shè)為“只讀”即可。
這種機(jī)制其實(shí)更像是“疫苗”,而非WannaCry的“Kill Switch”開關(guān),因?yàn)槊總(gè)用戶都需要自己去建立該文件,而不像WannaCry的Kill Switch那樣是統(tǒng)一一個(gè)“開關(guān)”。如果你很懶,那么可以直接執(zhí)行下載這個(gè)批處理文件(來源:BleepingComputer)
感染后
假如你不幸感染了,首先需要注意的一點(diǎn)是,交贖金是沒有用的,因?yàn)楹诳退褂玫泥]箱供應(yīng)商關(guān)閉了他的郵箱,導(dǎo)致受害者將無法恢復(fù)加密文件:
Petya勒索程序作者所用的郵箱供應(yīng)商Posteo宣布,關(guān)閉這位攻擊者的郵箱賬戶wowsmith123456@posteo.net。這對于Petya勒索軟件的受害者而言就是個(gè)災(zāi)難,因?yàn)榇撕笏麄儗o法給Petya作者發(fā)郵件,也就無法恢復(fù)被加密的文件。郵箱地址是Petya勒索信息顯示的唯一聯(lián)系方式,是勒索程序作者確認(rèn)比特幣支付的手段。而Posteo郵箱供應(yīng)商則表示自己只是在遵循一般處理流程,所以在發(fā)現(xiàn)該郵箱成為勒索程序的一部分之后就關(guān)閉了該郵箱,但Posteo表示當(dāng)前正在聯(lián)系聯(lián)邦信息技術(shù)安全局,“確認(rèn)進(jìn)行了合理響應(yīng)”。
其次,在去年針對Petya病毒的分析報(bào)告中已經(jīng)提到:
如果你是在第一階段檢測到Petya,那么你的數(shù)據(jù)還是可恢復(fù)的。
所謂的第一階段就是指出現(xiàn)所謂“磁盤掃描”界面之前。因?yàn)槲覀冋f過,出現(xiàn)磁盤檢查界面時(shí),病毒實(shí)際上在進(jìn)行加密操作,在此之前只是破壞MBR,使得用戶無法進(jìn)入系統(tǒng)。推特上也有專家證實(shí)了這樣的防范措施:
如果沒有完成這個(gè)CHKDSK過程,你的文件仍然可以通過LiveCD恢復(fù)
值得注意的是,Petya使用了AES-128和RSA-2048雙重加密的機(jī)制,一旦加密過程完成,恢復(fù)文件的希望也就微乎其微了。
IOC
郵箱地址
wowsmith123456@posteo.net
Bitcoin錢包地址:
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
加密目標(biāo)文件類型:
.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx
.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.
pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip.
勒索信息文件名:
README.TXT
不加密以下目錄:
C:\Windows;
| 
