587
警示:新型勒索病毒Petya如何對你的文件進行加密
6月27日晚間,一波大規模勒索蠕蟲病毒攻擊重新席卷全球。
雷鋒網報道,歐洲、俄羅斯等多國政府、銀行、電力係統、通訊係統、企業以及機場都不同程度的受到了影響。
阿裏雲安全團隊第一時間拿到病毒樣本,並進行了分析:
這是一種新型勒索蠕蟲病毒。電腦、服務器感染這種病毒後會被加密特定類型文件,導致係統無法正常運行。目前,該勒索蠕蟲通過Windows漏洞進行傳播,一台中招可能就會感染局域網內其它電腦。
一、Petya與WannaCry病毒的對比
1、加密目標文件類型
Petya加密的文件類型相比WannaCry少。
Petya加密的文件類型一共65種,WannaCry為178種,不過已經包括了常見文件類型。
2、支付贖金
Petya需要支付300美金,WannaCry需要支付600美金。
二、雲用戶是否受影響?
截止發稿,雲上暫時未發現受影響用戶。
6月28日淩晨,阿裏雲對外發布了公告預警。
三、勒索病毒傳播方式分析
Petya勒索蠕蟲通過Windows漏洞進行傳播,同時會感染局域網中的其它電腦。電腦感染Petya勒索病毒後,會被加密特定類型文件,導致電腦無法正常運行。
阿裏雲安全專家研究發現,Petya勒索病毒在內網係統中,主要通過Windows的協議進行橫向移動。主要通過Windows管理體係結構(Microsoft Windows Management Instrumentation),和PSEXEC(SMB協議)進行擴散。
截止到當前,黑客的比特幣賬號(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中隻有3.39 個比特幣(1比特幣=2459美金),33筆交易,說明已經有用戶支付了贖金。
四、技術和加密過程分析
阿裏雲安全專家對Petya樣本進行研究後發現,操作係統被感染後,重新啟動時會造成無法進入係統。如下圖顯示的為病毒偽裝的磁盤掃描程序。
Petya病毒對勒索對象的加密,分為以下7個步驟:
首先,函數sub_10001EEF是加密操作的入口。遍曆所有磁盤,對每個固定磁盤創建一個線程執行文件遍曆和加密操作,線程參數是一個結構體,包含一個公鑰和磁盤根路徑。
然後,在線程函數(StartAddress)中,先獲取密鑰容器,
pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"
dwProvType=PROV_RSA_AES Provider為RSA_AES。
調用sub_10001B4E,通過CryptGenKey生成AES128密鑰,用於後邊進行文件加密。
如果生成密鑰成功,接著調用sub_10001973和sub_10001D32,分別是遍曆磁盤加密文件和保存密鑰的功能。
在sub_10001973函數中判斷了隻對特定文件後綴加密。
sub_10001D32函數功能是將密鑰加密並寫入磁盤根路徑的README.TXT文件中,
該函數在開始時調用了sub_10001BA0獲取一個程序內置的公鑰
之後,調用sub_10001C7F導出AES密鑰,在這個函數中用前邊的公鑰對它加密。
最後,在README.TXT中寫了一段提示付款的文字,並且將加密後的密鑰寫入其中。
因為密鑰經過了程序中內置的公鑰加密,被勒索對象必須要有黑客的私鑰才能解密。這也就造成了勒索加密的不可逆性。
五、安全建議
目前勒索者使用的郵箱已經被關停,不建議支付贖金。
1、所有在IDC托管或自建機房有服務器的企業,如果采用了Windows操作係統,立即安裝微軟補丁。
2、對大型企業或組織機構,麵對成百上千台機器,最好還是使用專業客戶端進行集中管理。比如,阿裏雲的安騎士就提供實時預警、防禦、一鍵修複等功能。
3、可靠的數據備份可以將勒索軟件帶來的損失最小化。建議對數據進行備份,並同時做好安全防護,避免被感染和損壞。
文章轉自數據和雲公眾號,原文鏈接
最後更新:2017-07-17 16:44:41