新型勒索病毒Petya如何對你的文件進行加密

6月27日晚間，一波大規模勒索蠕蟲病毒攻擊重新席捲全球。

雷鋒網報道，歐洲、俄羅斯等多國政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。

阿里雲安全團隊第一時間拿到病毒樣本，並進行了分析：

這是一種新型勒索蠕蟲病毒。電腦、伺服器感染這種病毒後會被加密特定類型文件，導致系統無法正常運行。

目前，該勒索蠕蟲通過Windows漏洞進行傳播，一台中招可能就會感染區域網內其它電腦。

一、Petya與WannaCry病毒的對比

1、加密目標文件類型

Petya加密的文件類型相比WannaCry少。

Petya加密的文件類型一共65種，WannaCry為178種，不過已經包括了常見文件類型。

2、支付贖金

Petya需要支付300美金，WannaCry需要支付600美金。

二、雲用戶是否受影響？

截止發稿，雲上暫時未發現受影響用戶。

6月28日凌晨，阿里雲對外發布了公告預警。

三、勒索病毒傳播方式分析

Petya勒索蠕蟲通過Windows漏洞進行傳播，同時會感染區域網中的其它電腦。電腦感染Petya勒索病毒後，會被加密特定類型文件，導致電腦無法正常運行。

阿里雲安全專家研究發現，Petya勒索病毒在內網系統中，主要通過Windows的協議進行橫向移動。

主要通過Windows管理體系結構（Microsoft Windows Management Instrumentation），和PSEXEC（SMB協議）進行擴散。

截止到當前，黑客的比特幣賬號(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 個比特幣（1比特幣=2459美金），33筆交易，說明已經有用戶支付了贖金。

四、技術和加密過程分析

阿里雲安全專家對Petya樣本進行研究後發現，操作系統被感染後，重新啟動時會造成無法進入系統。如下圖顯示的為病毒偽裝的磁碟掃描程序。

Petya病毒對勒索對象的加密，分為以下7個步驟：

首先，函數sub_10001EEF是加密操作的入口。遍歷所有磁碟，對每個固定磁碟創建一個線程執行文件遍歷和加密操作，線程參數是一個結構體，包含一個公鑰和磁碟根路徑。

然後，在線程函數（StartAddress）中，先獲取密鑰容器，

pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"

dwProvType=PROV_RSA_AES Provider為RSA_AES。

調用sub_10001B4E，通過CryptGenKey生成AES128密鑰，用於後邊進行文件加密。

sub_10001D32函數功能是將密鑰加密並寫入磁碟根路徑的README.TXT文件中，

該函數在開始時調用了sub_10001BA0獲取一個程序內置的公鑰

之後，調用sub_10001C7F導出AES密鑰，在這個函數中用前邊的公鑰對它加密。

最後，在README.TXT中寫了一段提示付款的文字，並且將加密後的密鑰寫入其中。

因為密鑰經過了程序中內置的公鑰加密，被勒索對象必須要有黑客的私鑰才能解密。這也就造成了勒索加密的不可逆性。

五、安全建議

目前勒索者使用的郵箱已經被關停，不建議支付贖金。

所有在IDC託管或自建機房有伺服器的企業，如果採用了Windows操作系統，立即安裝微軟補丁。

對大型企業或組織機構，面對成百上千台機器，最好還是使用專業客戶端進行集中管理。比如，阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。

可靠的數據備份可以將勒索軟體帶來的損失最小化。建議啟用阿里雲快照功能對數據進行備份，並同時做好安全防護，避免被感染和損壞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！