当前位置:首页 > 业界动态 > 正文内容

[WIN]Petya勒索软件新变种详细分析报告-转载

炫懿4年前 (2017-06-28)13390

Petya新变种简介

据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。

2.png

当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。

3.png

传播渠道分析可能传播渠道-邮箱传播

根据乌克兰CERT官方消息,邮件附件被认为该次病毒攻击的传播源头,邮箱附件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中,并没有完整重现整个攻击过程。

0.png

可能传播渠道-MeDoc

很多安全研究机构认为,这次Petya的攻击源是由于MeDoc软件的更新服务被劫持导致。


详细功能分析感染过程分析

1,写MBR

1.png

0~0x21扇区保存的是病毒的MBR和微内核代码数据,而原始的MBR被加密保存在第0x22扇区。


2,加密文件

1)遍历分区

2.png

2)要加密的文件类型

4.png

3)文件加密过程

5.png

3、传播方式

1)可能通过管理共享在局域网内传播,而后通过wmic来实现远程命令执行。

C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"

6.png

c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" \"c:\windows\perfc.dat\" #1

7.png

2)通过EternalBlue和EternalRomance漏洞传播

8.png

程序发动攻击前,先尝试获取到可攻击的IP地址列表:

9.png

依次获取:已建立TCP连接的IP、本地ARP缓存的IP以及局域网内存在的服务器IP地址。收集完这些地址后,便进行进一步攻击。


磁盘加密和勒索细节

主要功能描述:

1、系统重启,恶意MBR加载;

2、检测磁盘是否被加密,如果没有则显示伪造的检测磁盘界面、并加密MFT;

3、显示红色的勒索界面,让用户输入秘钥;


细节分析:

MBR启动后,将1-21扇区数据复制到8000地址处,然后Jmp执行8000地址代码

11.png

通过读取标记位判断磁盘已经被加密

12.png

若磁盘没有加密,则显示伪造的检测磁盘界面,并加密MFT

13.png

加密完成后,读取扇区后面的勒索语句

14.png

将获取到的语句显示到屏幕上

15.png

从屏幕获取秘钥并验证

16.png

安全建议

1, 及时下载安装火绒,并使用勒索病毒免疫工具,防患于未然。(免疫工具下载地址

2, 及时将补丁打全。

3, 遇到可疑文件,特别是陌生邮件中的附件,不要轻易打开,首先使用上传至哈勃分析系统(https://habo.qq.com/)对文件进行安全性检测。


参考资料

1, http://www.freebuf.com/articles/system/138567.html

2, https://securelist.com/schroedingers-petya/78870/

3, https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html

4, https://www.fireeye.com/blog/threat-research/2017/06/petya-ransomware-spreading-via-eternalblue-exploit.html

5, http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/

6, https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759



相关文章

 [PHP] EMLOG大前端琉璃主题6.1

[PHP] EMLOG大前端琉璃主题6.1

[+]新增首页轮播图5张,解决懒加载少图的BUG,在“站点配置”中设置;[+]首页5张展示图透明化,以及热门排行的布局优化;[+]站内公告支持6条信息,解决布局冲突BUG;[+]优化电脑端和手机端LOGO大小的不匹配问题;[+]优化搜索框与导航栏内若过多导致被隐藏的问题;[+]首页列表文章hover特效;[+]修复在ipad端浏览出现的排版错位;[+]解决大前端无法获取友情链接图标的问题。[+]解...

预防onion比特币勒索病毒 一键快速关闭135,445端口

预防onion比特币勒索病毒 一键快速关闭135,445端口

RT就是一段代码,不用自己设置,下载解压右键管理员身份运行即可。onion.rar大小:568.0B已经过安全软件检测无毒,请您放心下载。...

网络安全法今日上线 以后该收敛点

网络安全法今日上线 以后该收敛点

现在网络免费资源越来越不好搞了,什么原因造成的呢?当然跟国内的制度有关了,最近热传《网络安全法》将于2017年6月1日正工颁布实施了。但是这个《网络安全法》对于免费资源有啥影响呢?QQ群都在搞实名制了,百度网盘也要求实名制,淘宝不管是购物、开店都需要实名认证。从BAT巨头互联网公司的实名制政策来看,在国内互联网用户实名制是趋势。各家互联网公司要求实名制,造成领取一个免费的资源,都需要拿自己的实名信...

[Android] 老子搜书2.08清爽版!!!

[Android] 老子搜书2.08清爽版!!!

想看什么书,只要搜索就可以了,最新收费完本,连载官方同步更新,通通都是免费的!!! 软件介绍 1.全网搜书,更多更广的书源。 2.本地缓存,离线亦可阅读。 3.书库推荐,可以根据分类发现有兴趣的书籍。 4.多种风格,配色适合多种阅读场景。  5.超小Apk,移动流量下都可以放心更新。 老子搜书2.08.apk大小:10...

[Android]我的VR女友破解版

[Android]我的VR女友破解版

首先,说一下这款游戏不得不让我折服!玩了半小时实在是受不了了!此款游戏支持VR、有VR玩着更爽!!不多说、大家进游戏慢慢体验!破解内容:点击购买选择支付宝、千万别支付、这时候只需点击返回即可完成内购!注意事项:经测试无卡用户可能会卡在支付界面、所以请无卡用户谨慎下载。我的VR女友.apk密码:ikmu|大小:260.5M已经过安全软件检测无毒,请您放心下载。...

网际飞梭VPN作者分享自己被抓原因及过程

网际飞梭VPN作者分享自己被抓原因及过程

  7月19日,网际飞梭作者在其推特上分享了自己被抓原因及过程,该作者被指控开发“反动软件”,称对方通过QQ查到自己IP抓获自己,并强硬要求他将该软件从应用商店下架,最后他只得同意将该软件下架应用商店。他在推特上也发文表示,网际飞梭已经下架了,以后也不会再上架,学一句GreenVPN的告别语,“相逢有时,后会无期。”再见。  根据网际飞梭在苹果AppStore上的缓存信息,网际飞梭是影梭...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。