Petya勒索軟體新變種詳細分析報告
目錄
Petya勒索軟體新變種詳細分析報告
Petya新變種簡介
傳播渠道分析
可能傳播渠道-郵箱傳播
可能傳播渠道-MeDoc
詳細功能分析
感染過程分析
磁碟加密和勒索細節
安全建議
參考資料
Petya新變種簡介
據twitter爆料,烏克蘭政府機構遭大規模攻擊,其中烏克蘭副總理的電腦均遭受攻擊,目前騰訊電腦管家已經確認該病毒為Petya勒索病毒變種。Petya勒索病毒變種中毒後會掃描內網的機器,通過永恆之藍漏洞自傳播到內網的機器,達到快速傳播的目的。
有國外安全研究人員認為,Petya勒索病毒變種會通過郵箱附件傳播,利用攜帶漏洞的DOC文檔進行攻擊。中毒後,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows操作系統之前接管電腦,執行加密等惡意操作。電腦重啟後,會顯示一個偽裝的界面,此界面實際上是病毒顯示的,界面上假稱正在進行磁碟掃描,實際上正在對磁碟數據進行加密操作。
當加密完成後,病毒要求受害者支付價值300美元的比特幣之後,才會回復解密密鑰。
傳播渠道分析
可能傳播渠道-郵箱傳播
根據烏克蘭CERT官方消息,郵件附件被認為該次病毒攻擊的傳播源頭,郵箱附件是一個DOC文檔,文檔通過漏洞CVE-2017-0199來觸發攻擊,電腦管家也溯源到了國內類似郵件攻擊最早發生在6月27日早上。在實際測試過程中,並沒有完整重現整個攻擊過程。
可能傳播渠道-MeDoc
很多安全研究機構認為,這次Petya的攻擊源是由於MeDoc軟體的更新服務被劫持導致。
詳細功能分析
感染過程分析
1,寫MBR
0~0x21扇區保存的是病毒的MBR和微內核代碼數據,而原始的MBR被加密保存在第0x22扇區。
2,加密文件
1)遍歷分區
2)要加密的文件類型
3)文件加密過程
3、傳播方式
1)可能通過管理共享在區域網內傳播,而後通過wmic來實現遠程命令執行。
C:Windowsdllhost.dat 10.141.2.26 -accepteula -s -d C:WindowsSystem32
undll32.exe 「C:Windowsperfc.dat」,##1 60 「RCAD
yngarus.ext:FimMe21Pass!roy4」」RCADsvcomactions:3GfmGeif」
c:windowssystem32wbemwmic.exe /node:」IP_ADDR」 /user:」User」 /password:」PWD」 process call create 「c:windowssystem32
undll32.exe」 」c:windowsperfc.dat」 #1
2)通過EternalBlue和EternalRomance漏洞傳播。
程序發動攻擊前,先嘗試獲取到可攻擊的IP地址列表:
依次獲取:已建立TCP連接的IP、本地ARP緩存的IP以及區域網內存在的伺服器IP地址。收集完這些地址後,便進行進一步攻擊。
磁碟加密和勒索細節
主要功能描述:
1、系統重啟,惡意MBR載入;
2、檢測磁碟是否被加密,如果沒有則顯示偽造 的檢測磁碟界面、並加密MFT;
3、顯示紅色的勒索界面,讓用戶輸入秘鑰;
細節分析:
MBR啟動後,將1-21扇區數據複製到8000地址 處,然後Jmp執行8000地址代碼
通過讀取標記位判斷磁碟已經被加密
若磁碟沒有加密,則顯示偽造的檢測磁碟界面,並加密MFT
加密完成後,讀取扇區後面的勒索 語句
將獲取到的語句顯示到屏幕上
從屏幕獲取秘鑰並驗證
安全建議
1, 及時下載安裝騰訊電腦管家,並使用勒索病毒免疫工具,防患於未然。(免疫工具下載地址http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/PetyaFix_2_0_766_127.exe )
2, 及時使用電腦管家將補丁打全。
3, 遇到可疑文件,特別是陌生郵件中的附件,不要輕易打開,首先使用電腦管家進行掃描,或上傳至哈勃分析系統(https://habo.qq.com/)對文件進行安全性檢測。
參考資料
1, http://www.freebuf.com/articles/system/138567.html
2, https://securelist.com/schroedingers-petya/78870/
3, https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html
4,https://www.fireeye.com/blog/threat-research/2017/06/petya-ransomware-spreading-via-eternalblue-exploit.html
5, http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/
6, https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
* 本文作者:騰訊電腦管家(企業帳號),轉載請註明來自FreeBuf.COM
※偽裝在系統PAM配置文件中的同形異義字後門
※NSA正式公開官方GitHub帳號,已經有32個項目
※有關Petya勒索軟體,你想知道的都在這裡
※我是如何輕鬆拿到Google $1337現金獎勵的
※各國被黑客泄露的信息都是真的嗎?揭秘真相森林中的重重謊言
TAG:FreeBuf |
※深度分析Scarab的新變種勒索軟體
※揭秘Scarab勒索軟體新變種、新手段
※通過廣告軟體傳播新.tro變種的Djvu勒索軟體
※間諜軟體Agent Tesla變種再現:通過特製Word文檔誘導安裝
※Satan勒索病毒最新變種預警
※Fortinet實驗室對Mirai新變種OMG的分析
※間諜軟體Agent Tesla 再發新變種 攻擊者通過Zoho郵箱接收被盜數據
※警惕Agent Tesla商業鍵盤記錄器新型變種
※Mirai和Gafgyt殭屍網路新變種近期十分活躍
※Mirai和Gafgyt新變種利用Struts和SonicWall漏洞攻擊企業
※又有新花款—Nike 推出復古變種 Benassi Slide
※Nike 變種鞋款 Air VaporMax 95「Neon」更多實物細節曝光
※Nike 變種鞋款 Air VaporMax 95「Neon」更多細節曝光
※研究人員發現SpectrePrime和MeltdownPrime新變種
※勒索軟體Mobef現新變種 攻擊目標瞄準義大利
※SamSam勒索病毒變種預警
※鋸齒型鯊魚外底!Converse 變種 Chuck Taylor All Star 系列登場
※羊蹄子變種?Maison Margiela推出全新塗鴉系列單品
※Asruex後門變種通過Office和Adobe漏洞感染word和PDF文檔
※Converse 推出 All Star Gladiator Hi 變種羅馬涼鞋