全新勒索病毒Petya是什么

　　WannaCry剛走，Petya就來了(局域網(wǎng)也能傳播更夸張)，這個(gè)病毒目前正在全球爆發(fā)，其中烏克蘭、俄羅斯受害最嚴(yán)重。全新勒索病毒Petya是什么?Petya勒索病毒怎么預(yù)防?下面學(xué)習(xí)啦準(zhǔn)備告訴大家Petya勒索病毒預(yù)防方法。

　　全新勒索病毒Petya是什么

　　有技術(shù)大拿對Petya分析后發(fā)現(xiàn)，這個(gè)全新的勒索病毒依然是使用了“永恒之藍(lán)”(EternalBlue)漏洞，這也是它能像WannaCry一樣快速傳播的主因。

　　此外，需要注意的是，Petya病毒會修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時(shí)，病毒代碼會在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。

　　相比WannaCry來說，這次Petya勒索病毒做的更狠，不聯(lián)網(wǎng)局域網(wǎng)中也能傳播，當(dāng)然黑客這么做也是想要勒索到更多的錢財(cái)，但是讓他們崩潰的是，到目前位置其只收到29筆贖金，價(jià)值7497美元(約合5.1萬元)。

　　考慮到勒索病毒波及的廣度，Petya黑客恐怕要?dú)獾耐卵恕?/p>

　　對于這樣的勒索，專家警告即使你付了贖金，可能也拿不回被鎖的文檔，畢竟發(fā)動(dòng)攻擊的可不是什么好人。同時(shí)，這些資金可能還會資助黑客發(fā)動(dòng)下一輪攻擊。

　　最搞笑的是，有支付勒索費(fèi)用的用戶吐槽，Petya的贖金支付系統(tǒng)做的實(shí)在是太爛了。

　　實(shí)際上，Petya 勒索軟件在 2016 年 3 月份已經(jīng)出現(xiàn)，與其它常見的勒索軟件不同，除了加密文件外，它還加密系統(tǒng)的主引導(dǎo)記錄。這一“雙管齊下”致使磁盤無法被訪問，而且大多數(shù)用戶都無法恢復(fù)任何內(nèi)容。

　　昨天發(fā)現(xiàn)的這一新變種還采用了一個(gè)多月之前爆發(fā)的 WannaCry 的傳播機(jī)制，從而進(jìn)一步加大了其破壞力。Petya 以一個(gè)只有一個(gè)未命名導(dǎo)出的 Windows DLL 的形式出現(xiàn)，并使用同樣的“永恒之藍(lán)”漏洞利用技術(shù)來試圖感染遠(yuǎn)程機(jī)器，如下圖所示。我們可以看到在發(fā)動(dòng)漏洞利用攻擊之前的典型操作，和 WannaCry 類似。

　　一旦這一漏洞利用攻擊成功，惡意軟件將會自我復(fù)制到遠(yuǎn)程機(jī)器的 C:\Windows 目錄下，然后使用 rundll32.exe 自我啟動(dòng)。這一進(jìn)程是在被永恒之藍(lán)漏洞利用包注入的 Windows 進(jìn)程 lsass.exe 下執(zhí)行。

　　由于之前 WannaCry 的大規(guī)模爆發(fā)使得許多公司部署了最新的 Windows 補(bǔ)丁，因此，Petya 引用了一些新的傳播機(jī)制來使攻擊的成功率更高。其中一個(gè)方法是是試圖將自己和一個(gè) psexec.exe 的副本復(fù)制到遠(yuǎn)程機(jī)器的 ADMIN$ 文件夾。如果成功，那么 Petya 就能借助一個(gè)遠(yuǎn)程調(diào)用將 psexec.exe 作為一項(xiàng)服務(wù)啟動(dòng)，如下圖所示：

　　上圖顯示了正在將該 DLL 復(fù)制到遠(yuǎn)程主機(jī)。下圖則顯示了正在復(fù)制 psexec，且正在試圖使用 svcctl 遠(yuǎn)程過程調(diào)用來啟動(dòng) psexec。

　　兩個(gè)文件都復(fù)制到 C:\Windows 文件夾。

　　Petya 新變種所使用的另一個(gè)方法是借助盜取的用戶憑據(jù)，使用 Windows 管理規(guī)范命令行 (WMIC) 在遠(yuǎn)程機(jī)器上直接執(zhí)行該樣本。Petya 所使用的命令類似下面的命令行：

　　●exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\%s\” #1

　　“%ws” 代表一個(gè)寬字符串變量，根據(jù)當(dāng)前的機(jī)器及被利用的用戶憑據(jù)來生成。

　　一旦該惡意軟件在機(jī)器上運(yùn)行，它將會把 psexec.exe 投放到本地系統(tǒng)，成為 c:\windows\dllhost.dat，并將另一個(gè) .EXE(根據(jù)操作系統(tǒng)不同，分別為 32 位或 64 位版本)加入到 %TEMP% 文件夾。這一二進(jìn)制文件是某個(gè)密碼恢復(fù)工具的修改版本，類似于 Mimikatz 或 LSADump。

　　上述代碼顯示了在密碼提取過程中使用的 LSA 函數(shù)。

　　此 .EXE 以一個(gè) PIPE 名稱作為參數(shù)，類似于下面的內(nèi)容：

　　●\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}

　　這一 PIPE 被 Petya 用來接收竊取的密碼，這些密碼將被用于上面提到的 WMIC。

　　所有這些文件都以壓縮格式存在主 DLL 的資源部分，如下圖所示：

　　隨后，Petya 新變種將加密本地文件及 MBR，并安裝一個(gè)計(jì)劃任務(wù)在使用 schtasks.exe 一小時(shí)后重新啟動(dòng)機(jī)器。如下圖所示：

　　Petya 新變種所使用的加密技術(shù)是帶有 RSA 的 AES-128。這一點(diǎn)與之前的變種不同，它們使用的是 SALSA20。用于加密文件加密密鑰的RSA公鑰是硬編碼的，如下圖所示：

　　該惡意軟件還試圖通過清除事件日志來隱藏其蹤跡，執(zhí)行的命令如下：

　　●wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

　　在機(jī)器重啟后，一個(gè)隨機(jī)的信息將會出現(xiàn)在屏幕上，索取價(jià)值 300 美元的比特幣：

　　截止到目前，此帳戶只收到少數(shù)交易，但可以預(yù)見，隨著更多的人發(fā)現(xiàn)自己被攻擊后，將會有越來越多的交易：