全新勒索病毒Petya是什么
全新勒索病毒Petya是什么
WannaCry刚走,Petya就来了(局域网也能传播更夸张),这个病毒目前正在全球爆发,其中乌克兰、俄罗斯受害最严重。全新勒索病毒Petya是什么?Petya勒索病毒怎么预防?下面学习啦准备告诉大家Petya勒索病毒预防方法。
全新勒索病毒Petya是什么
有技术大拿对Petya分析后发现,这个全新的勒索病毒依然是使用了“永恒之蓝”(EternalBlue)漏洞,这也是它能像WannaCry一样快速传播的主因。
此外,需要注意的是,Petya病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。
相比WannaCry来说,这次Petya勒索病毒做的更狠,不联网局域网中也能传播,当然黑客这么做也是想要勒索到更多的钱财,但是让他们崩溃的是,到目前位置其只收到29笔赎金,价值7497美元(约合5.1万元)。
考虑到勒索病毒波及的广度,Petya黑客恐怕要气的吐血了。
对于这样的勒索,专家警告即使你付了赎金,可能也拿不回被锁的文档,毕竟发动攻击的可不是什么好人。同时,这些资金可能还会资助黑客发动下一轮攻击。
最搞笑的是,有支付勒索费用的用户吐槽,Petya的赎金支付系统做的实在是太烂了。
实际上,Petya 勒索软件在 2016 年 3 月份已经出现,与其它常见的勒索软件不同,除了加密文件外,它还加密系统的主引导记录。这一“双管齐下”致使磁盘无法被访问,而且大多数用户都无法恢复任何内容。
昨天发现的这一新变种还采用了一个多月之前爆发的 WannaCry 的传播机制,从而进一步加大了其破坏力。Petya 以一个只有一个未命名导出的 Windows DLL 的形式出现,并使用同样的“永恒之蓝”漏洞利用技术来试图感染远程机器,如下图所示。我们可以看到在发动漏洞利用攻击之前的典型操作,和 WannaCry 类似。
一旦这一漏洞利用攻击成功,恶意软件将会自我复制到远程机器的 C:\Windows 目录下,然后使用 rundll32.exe 自我启动。这一进程是在被永恒之蓝漏洞利用包注入的 Windows 进程 lsass.exe 下执行。
由于之前 WannaCry 的大规模爆发使得许多公司部署了最新的 Windows 补丁,因此,Petya 引用了一些新的传播机制来使攻击的成功率更高。其中一个方法是是试图将自己和一个 psexec.exe 的副本复制到远程机器的 ADMIN$ 文件夹。如果成功,那么 Petya 就能借助一个远程调用将 psexec.exe 作为一项服务启动,如下图所示:
上图显示了正在将该 DLL 复制到远程主机。下图则显示了正在复制 psexec,且正在试图使用 svcctl 远程过程调用来启动 psexec。
两个文件都复制到 C:\Windows 文件夹。
Petya 新变种所使用的另一个方法是借助盗取的用户凭据,使用 Windows 管理规范命令行 (WMIC) 在远程机器上直接执行该样本。Petya 所使用的命令类似下面的命令行:
●exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\%s\” #1
“%ws” 代表一个宽字符串变量,根据当前的机器及被利用的用户凭据来生成。
一旦该恶意软件在机器上运行,它将会把 psexec.exe 投放到本地系统,成为 c:\windows\dllhost.dat,并将另一个 .EXE(根据操作系统不同,分别为 32 位或 64 位版本)加入到 %TEMP% 文件夹。这一二进制文件是某个密码恢复工具的修改版本,类似于 Mimikatz 或 LSADump。
上述代码显示了在密码提取过程中使用的 LSA 函数。
此 .EXE 以一个 PIPE 名称作为参数,类似于下面的内容:
●\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}
这一 PIPE 被 Petya 用来接收窃取的密码,这些密码将被用于上面提到的 WMIC。
所有这些文件都以压缩格式存在主 DLL 的资源部分,如下图所示:
随后,Petya 新变种将加密本地文件及 MBR,并安装一个计划任务在使用 schtasks.exe 一小时后重新启动机器。如下图所示:
Petya 新变种所使用的加密技术是带有 RSA 的 AES-128。这一点与之前的变种不同,它们使用的是 SALSA20。用于加密文件加密密钥的RSA公钥是硬编码的,如下图所示:
该恶意软件还试图通过清除事件日志来隐藏其踪迹,执行的命令如下:
●wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
在机器重启后,一个随机的信息将会出现在屏幕上,索取价值 300 美元的比特币:
截止到目前,此帐户只收到少数交易,但可以预见,随着更多的人发现自己被攻击后,将会有越来越多的交易:
下一页更多精彩的“Petya勒索病毒怎么预防”