查看: 3365|回复: 2
收起左侧

[技术原创] 【首发】Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析

[复制链接]
腾讯电脑管家
发表于 2017-6-28 01:22:10 | 显示全部楼层 |阅读模式
      据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒。腾讯安全反病毒实验室旗下的哈勃分析系统对收集到的病毒样本进行了分析,并已确认病毒样本通过永恒之蓝传播。根据病毒的恶意行为,哈勃已经能够识别此病毒并判定为高度风险。腾讯安全反病毒实验室提醒用户,开启腾讯电脑管家可查杀该病毒。

      根据分析结果,病毒样本运行之后,会枚举内网中的电脑,并尝试在445等端口使用SMB协议进行连接。

      深入分析发现,病毒连接时使用的是“永恒之蓝”(EternalBlue)漏洞,此漏洞在之前的WannaCry勒索病毒中也被使用,是造成WannaCry全球快速爆发的重要原因之一,此次Petya勒索病毒也借助此漏洞达到了快速传播的目的。

      同时,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。

      电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。

      当加密完成后,病毒才露出真正的嘴脸,要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
      这个加密流程与2016年起出现的Petya勒索病毒的流程相似,twitter上也有安全人员确认了二者的相似关系。但是不同的是,之前的Petya病毒要求访问暗网地址获取解密密钥,而此次爆发的病毒直接留下了一个Email邮箱作为联系方式。

      腾讯安全反病毒实验室提醒,要警惕通过各种渠道收到的陌生文件,遇到可疑文件可以使用哈勃分析系统(https://habo.qq.com/)对文件进行安全性检测,开启腾讯电脑管家可查杀该病毒。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
KK院长
发表于 2017-6-28 09:07:08 | 显示全部楼层
同样是445 端口的毒。
cctv12a
发表于 2017-6-28 09:28:08 | 显示全部楼层
不打补丁,没办法
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 16:17 , Processed in 0.137390 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表