查看: 3262|回复: 0
收起左侧

[技术原创] 腾讯安全反病毒实验室发布Petya勒索病毒新变种详细分析报告

[复制链接]
腾讯电脑管家
发表于 2017-6-28 14:36:09 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2017-6-28 14:35 编辑

       6月27日,据Twitter爆料,乌克兰政府机构遭大规模攻击,乌克兰副总理的电脑也遭受攻击。目前,腾讯电脑管家已经确认该病毒为Petya勒索病毒变种,并针对该病毒样本展开详细分析,发布详细分析报告。
       腾讯电脑管家可全面防御Petya勒索病毒,开启腾讯电脑管家防护的用户,可放心开机,广大用户升级或下载最新版本腾讯电脑管家即可抵御Petya等勒索病毒及其变种的侵袭,确保用户系统和数据安全。同时,腾讯安全云鼎实验室已经发布预警,提醒腾讯云用户确保安装和开启云镜主机保护系统。
       腾讯电脑管家发现Petya勒索病毒变种中毒后,会扫描内网的机器,并通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统启动之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,界面上假称正在进行磁盘扫描,实际是正在对磁盘数据进行加密操作。



       当加密完成后,病毒要求受害者支付价值300美元的比特币,才会回复解密密钥。


Petya勒索病毒传播渠道

       目前,众多安全机构对于Petya勒索病毒的传播渠道,有两种判断,分别是邮箱传播和MeDoc软件更新服务被劫持。
       根据乌克兰CERT官方消息,邮件附件被认为是此次病毒攻击的传播源头,邮箱附件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯源到国内类似邮件攻击最早发生在6月27日早上。但在实际测试过程中,并没有完整重现整个攻击过程。


       此外,很多安全研究机构认为,这次Petya的攻击源是由于MeDoc软件的更新服务被劫持导致。


Petya勒索病毒感染过程分析

       第一步,写MBR

        0~0x21扇区保存的是病毒的MBR和微内核代码数据,而原始的MBR被加密保存在第0x22扇区。这也意味着Petya病毒不能通过重装系统来清除。

       第二步,加密受害者电脑文件
       遍历分区——Petya勒索病毒会扫描中毒电脑的分区。


       Petya勒索病毒加密的文件类型包括文档、邮件、数据库等多种类型。


       腾讯电脑管家还还原了Petya勒索病毒加密文件的过程。


Petya勒索病毒传播形式

       腾讯电脑管家发现,Petya勒索病毒可能通过管理共享,或通过系统漏洞传播。
       通过管理共享,Petya勒索病毒可以在局域网内传播,然后通过wmic来实现远程命令执行。
       C:\Windows\dllhost.dat\\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe"C:\Windows\perfc.dat",##1 60"RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"


       c:\windows\system32\wbem\wmic.exe/node:"IP_ADDR" /user:"User" /password:"PWD"process call create "c:\windows\system32\rundll32.exe"\"c:\windows\perfc.dat\" #1


       此外,Petya勒索病毒还可以通过EternalBlue和EternalRomance漏洞传播。


       Petya勒索病毒发动攻击前,先尝试获取到可攻击的IP地址列表:


       依次获取:已建立TCP连接的IP、本地ARP缓存的IP以及局域网内存在的服务器IP地址。收集完这些地址后,便进行进一步攻击。

Petya勒索病毒磁盘加密和勒索细节
       Petya勒索病毒的加密步骤,主要分为:重启系统,恶意MBR加载;检测磁盘是否已被加密,如果没有,则显示伪造的检测磁盘界面、并加密MFT;显示红色的勒索界面,让用户交付赎金。

Petya勒索病毒加密细节分析:
       MBR启动后,将1-21扇区数据复制到8000地址处,然后Jmp执行8000地址代码。


       通过读取标记位判断磁盘已经被加密。


       若磁盘没有加密,则显示伪造的检测磁盘界面,并加密MFT。


       加密完成后,读取扇区后面的勒索语句。


       将获取到的语句显示到屏幕上。


       从屏幕获取秘钥并验证。


腾讯电脑管家安全建议

       1、   及时下载安装最新版腾讯电脑管家,并使用勒索病毒免疫工具,防患于未然。
(免疫工具下载地址
       2、   及时使用腾讯电脑管家,下载并安装系统补丁。
       3、   遇到可疑文件,特别是陌生邮件中的附件,不要轻易打开,首先使用电脑管家进行扫描,或上传至哈勃分析系统(https://habo.qq.com/)对文件进行安全性检测。
       同时,腾讯安全云鼎实验室已经发布预警,提醒腾讯云用户确保安装和开启云镜主机保护系统。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 21:49 , Processed in 0.110433 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表