Petya勒索病毒安全預警通告

第1章 安全通告

北京時間2017年6月27日晚，據外媒消息，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國正在遭遇Petya勒索病毒襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。

此次黑客使用的是Petya勒索病毒的變種Petwarp，使用的攻擊方式和WannaCry相同，由於這次攻擊有很強的定向性，所以歐洲感染較多。目前國內感染量較少，但是考慮到其定向性，未來存在較高風險在國內傳播。360天擎（企業版）和360安全衛士（個人版）可以查殺該病毒。

據悉，該病毒和勒索軟體很類似，都是遠程鎖定設備，然後索要贖金。據賽門鐵克最新發布的消息顯示此次攻擊時仍然使用了永恆之藍勒索漏洞，還會獲取系統用戶名與密碼進行內網傳播。

360安全監測與響應中心也將持續關注該事件進展，並第一時間為您更新該漏洞信息。

第2章 事件信息

事件描述

Petya和傳統的勒索軟體不同，不會對電腦中的每個文件都進行加密，而是通過加密硬碟驅動器主文件表（MFT），使主引導記錄（MBR）不可操作，通過佔用物理磁碟上的文件名，大小和位置的信息來限制對完整系統的訪問，從而讓電腦無法啟動。如果想要恢復，需要支付價值相當於300美元的比特幣。

被感染的機器屏幕會顯示如下的告知付贖金的界面：

風險等級

360安全監測與響應中心風險評級為：危急

影響範圍

由於本次Petya勒索病毒傳播使用永恆之藍漏洞，受永恆之藍漏洞影響的系統均在該病毒威脅範圍之內。使用開源（OpenVAS）或商業漏洞掃描工具檢查內網，發現所有開放445 SMB服務埠的被認定存在漏洞終端和伺服器，對於Win7及以上版本的系統確認是否安裝了MS17-010補丁，如沒有安裝則受威脅影響；Win7以下的Windows XP/2003如果沒有安裝KB4012598補丁，則也受漏洞的影響。

第3章 處置建議

安全操作提示

從目前掌握的情況來看：

1. 有情報顯示該樣本有可能通過郵件方式投遞，具體特徵正在確認中，請大家不要輕易打開doc、rtf等後綴的附件，可以安裝360天擎（企業版）和360安全衛士（個人版）等相關安全產品進行查殺。

2. 及時更新windows系統補丁，具體修復方案請參考「永恆之藍」漏洞修復工具。

3. 內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼，未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

修復工具

360企業安全天擎團隊開發的勒索蠕蟲漏洞修復工具，可根本解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復工具集成免疫、SMB服務關閉和各系統下MS17-010漏洞檢測與修復於一體。可在離線網路環境下一鍵式修復系統存在的MS17-010漏洞，工具下載地址：

http://b.360.cn/other/onionwormfix

緩解措施

關閉TCP 135埠

建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。

停止伺服器的WMI服務

WMI（Windows Management Instrumentation Windows 管理規範）是一項核心的 Windows 管理技術 你可以通過如下方法停止 ：

在服務頁面開啟WMI服務。在開始-運行，輸入services.msc，進入服務。或者，在控制面板，查看方式選擇大圖標，選擇管理工具，在管理工具中雙擊服務。

在服務頁面，按W，找到WMI服務，找到後，雙擊，直接點擊停止服務即可，如下圖所示：

第4章 技術分析

Petya樣本分析

樣本文件列表

病毒功能分析

樣本（MD5：71b6a493388e7d0b40c83ce903bc6b04）為病毒的主要功能模塊，該文件為僅有一個名為perfc_1導出函數的DLL文件，此函數為病毒執行起點。執行後進行如下操作：

1）替換系統MBR

首先病毒以物理方式打開硬碟:

讀取原始分區信息：

讀取原始MBR：

然後將原始mbr加密保存,加密演算法是和7做異或運算：

然後分配200位元組給病毒的mbr數據,然後將病毒的mbr寫入緩存區：

MBR入口代碼:

再分配22b1位元組給引導區代碼,將病毒的引導區代碼寫入緩存：

引導區代碼如下:

最後把緩存區數據寫入磁碟：

2）創建重啟計劃任務

病毒根據自身運行TickCount計算一個時間差，在這段時間差後採用計劃任務的方式執行重啟操作：

機器重啟後控制權被改寫後的MBR代碼接管，偽造的MBR代碼加密MFT，並阻止系統正常啟動，提示用戶支付贖金。

3）網路嗅探

病毒使用DHCP系列API遍歷DHCP池中內網地址：

並通過Socket嘗試建立連接判斷地址是否可以聯通：

病毒還使用NetServerEnum API遍歷域控環境內的域控伺服器：

通過此過程初步嗅探感染主機的內網環境，生成可感染內網主機列表，為下一步區域網感染做準備。

4）釋放並執行Mimikatz

病毒解壓縮ID為0的資源文件，寫入臨時目錄，釋放的文件為exe，該文件為Mimikatz代碼移植而來，主要功能不變。病毒在執行該exe前創建命名管道，通過管道讀取子進程數據輸出：

5）釋放Psexec

病毒緊接著解壓縮ID為3的資源文件，寫入Windows目錄，命名為dllhost.dat，該文件位PsExec.exe:

6）枚舉網路資源

病毒通過WNet系列API枚舉網路資源，並使用CreadEnumerate API遍歷系統保存的憑據，過濾類型位「TERMSRV」的憑據加入本地字典：

並使用此賬號密碼列表嘗試訪問之前的網路WebDav資源,並嘗試寫入自身：

隨後構造命令行：

C:WindowsWbemwmic.exe /node: /user: /password:

process call create 「C:WindowsSystem32
undll32.exe C:windows #1

該命令使用上步嘗試成功的口令遠程對名為NodeName的主機執行命令，該命令使用rundll32載入自身dll，執行入口導出函數，完成區域網的感染：

7）永恆之藍傳播

病毒隨後開啟線程進入利用永恆之藍漏洞傳播代碼，病毒使用偽隨機演算法生成IP：

隨後使用EternalBlue漏洞進行自身傳播，此樣本與Wannacry漏洞利用代碼基本一致，不一樣的地方在於，使用簡單異或演算法加密過程中用到的特徵數據，減少特徵數據。

8）本地文件加密勒索

緊接著病毒使用內嵌證書解密勒索功能配置，並初始化必要演算法句柄後開始進入磁碟文件遍歷循環，遇到指定後綴文件後開始加密：

加密完成後在分區根目錄寫README.txt說明文檔：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！