Petya勒索軟體通過烏克蘭被感染的會計軟體爆發

E安全6月28日訊
北京時間6月27日，Petya勒索軟體大範圍爆發，從而刷爆各大媒體版面、朋友圈、微博等。據思科Talos、ESET、MalwareHunter、卡巴斯基實驗室、烏克蘭警方等多種消息來源表示，不知名的攻擊者感染了M.E.Doc（M.E.Doc是烏克蘭公司使用的熱門會計軟體）更新伺服器，並向客戶推送了這個惡意軟體更新。

當更新到達M.E.Doc的客戶端時，被感染的軟體包傳送了Petya勒索軟體（也被稱為NotPetya或Petna）。

M.E.Doc證實並否認了更新問題

M.E.Doc軟體廠商似乎在無意中證實，今天早上出現異常，並發布了安全公告：

（中文翻譯：注意！我們的伺服器經歷了一場病毒攻擊。抱歉給您帶來不便）

幾個小時之後，隨著Petya勒索軟體在烏克蘭和全球其它多國大規模爆發，M.E.Doc在Facebook上否認其伺服器服務於任何惡意軟體。

5月，M.E.Doc更新傳播XData勒索軟體

安全研究人員MalwareHunter表示，這並非M.E.Doc首次通過惡意的軟體更新傳送勒索軟體。

上個月，M.E.Doc公司伺服器遭受攻擊，攻擊者疑似運行XData勒索軟體，當時在烏克蘭造成一場「浩劫」，而M.E.Doc公司也是否認，軟體更新伺服器與這起攻擊有關聯。

M.E.Doc公司目前並未就此次Petya勒索軟體爆發予以置評。卡巴斯基公司表示，90%的受害者位於烏克蘭和俄羅斯，這些地區正是M.E.Doc的主要覆蓋區域。

Petya就是NotPetya

據安全網站Bleeping Computer報道，卡巴斯基實驗室的安全研究員科斯廷·拉尤表示，這款勒索軟體使用了Petya的舊代碼，但這款勒索軟體卻又完全不同，自成一派。

這就是為什麼許多研究人員在社交媒體上將Petya稱之為NotPetya。

然而，Malwarebytes研究人員哈奇瑞扎德（Hasherezade，研究Petya的專家）認為，NotPetya的作者創建了原始的Petya、Mischa和GoldenEye勒索軟體。

感染程序的更多細節

思科與卡巴斯基的研究人員也披露了有關NotPetya執行的新細節。研究人員指出，這款勒索軟體首次通過被感染的M.E.Doc的軟體更新系統。

之後，NotPetya使用密碼獲取工具收集本地網路的憑證，之後將其傳送至PsExec、WMIC這類工具。這些工具使用這些密碼傳播到同一網路上的新電腦。

此外，NotPetya還使用「影子經紀人」2017年4月泄露的2個NSA漏洞：「永恆之藍」（ETERNALBLUE）和「永恆浪漫」（ETERNALROMANCE）。

Petya與WannaCry的差異

NotPetya使用這2個漏洞利用通過LAN傳播到其它電腦。與Wannacry不同的是，NotPetya只通過LAN傳播，不通過互聯網傳播。

發現WannaCry Kill Switch功能的研究人員MalwareTech表示，NotPetya的危險性不及WannaCry。

MalwareTech表示，Petya攻擊有所不同，它使用的漏洞利用只用來在本地網路傳播，而非互聯網。由於本地網路範圍有限，掃描速度相對較快，一旦完成對本地網路的掃描，這款惡意軟體會停止傳播，因此感染力度不及WannaCry。據他推測，NotPetya已經停止散布，另外，WannaCry可被分散部署在少量計算機上，之後迅速傳播開來，而Petya似乎在大量計算機上部署。因此，從這種情況來看，攻擊爆發後超過1小時出現新感染的風險較低。這款惡意軟體關閉計算機，並在執行後1小時對其加密，屆時就已經完成了本地網路掃描。

Petya與WannaCry的相似之處

Petya跟WannaCry一樣，也通過電子郵件進行傳播。

Petya通過偽裝成工作應用程序的惡意電子郵件進行分發。該電子郵件附帶了一個指向Dropbox文件夾的鏈接，該文件夾承載了一個惡意的.zip壓縮文件，包含一個年輕人的照片（從股票圖像網站竊取）和.pdf文件或自解壓縮的檔案，偽裝成個人簡歷。

如果受害者打開文件，Windows會詢問他們是否允許文件更改其計算機。受害者可以授權惡意軟體的唯一方法是擁有計算機的管理許可權，因此如果企業員工的工作電腦被IT部門阻止更改計算機許可權的話，則勒索軟體無法運行。

如果受害者授權勒索軟體更改其計算機，則Petya立即導致計算機崩潰並顯示藍屏死亡。在啟動藍屏死機之前，惡意可執行文件會覆蓋受害者磁碟的開頭，並對其所有數據進行複製加密。

Petya在加密過程中使用AES-128和RSA-2048雙加密模式，這是大多數頂級勒索軟體家族採用的加密模式，這就是意味著推出解密器的可能性很小。

專家正在研究防止Petya感染的措施

幸運的是，Cybereason安全研究人員阿密特·謝珀爾發現一種方法，阻止Petya/NotPetya第一時間「紮根」。用戶可以參考以下截圖步驟關機，阻止Petya加密文件。

如何防止Petya感染

為了防止被NotPetya/Petya/Petna感染，建議用戶在C:Windows 文件夾下創建perfc文件，並設置為只讀模式。

對於那些計算機體驗很少的人，可以輕鬆的根據以下步驟儘可能做到防護。

首先，配置Windows以顯示文件擴展名，只需確保隱藏已知文件類型的擴展名的文件夾選項設置未選中，如下所示。

一旦您啟用了「始終啟用擴展程序查看」功能，打開C： Windows文件夾。 文件夾打開後，向下滾動，直到看到notepad.exe程序。

左鍵單擊notepad.exe程序，然後按Ctrl + C複製，再按Ctrl + V將其粘貼。 此時會彈出提示，要求您授予複製該文件的許可權。

點擊繼續，文件將創建為記事本——Copy.exe。 左鍵單擊此文件，然後按鍵盤上的F2鍵，之後將Copy.exe文件重命名perfcas，如下所示：

將文件名更改為perfc後，再按鍵盤上的Enter鍵，此時會彈出一個提示，詢問您是否確定要將其重命名。

選擇「是」， Windows將再次要求重新命名該文件夾中的文件的許可權，點擊繼續。

現在，perfc文件已創建，我們需要使其成為只讀，右鍵單擊該文件，選擇「屬性」，如下所示：

該文件的屬性菜單現在將打開。 底部將是一個標記為只讀的複選框。 在其中放置一個複選標記，如下圖所示：

現在點擊應用按鈕，然後點擊確定按鈕。 屬性窗口應該關閉，您的計算機現在已可以免疫NotPetya / SortaPetya / Petya Ransomware。

想要一鍵解決，可以參考： http://t.cn/Rol5iyp

E安全註：本文系E安全獨家報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！