作者:騰訊電腦管家 - FreeBuf.COM | 關注駭客與極客

原文連結:Petya勒索軟體新變種詳細分析報告 - FreeBuf.COM | 關注駭客與極客

本文非《安全大事件》原創

轉載請註明來自http://FreeBuf.COM

目錄

Petya勒索軟體新變種詳細分析報告

Petya新變種簡介

傳播渠道分析

可能傳播渠道-郵箱傳播

可能傳播渠道-MeDoc

詳細功能分析

感染過程分析

磁碟加密和勒索細節

安全建議

參考資料

Petya新變種簡介

據twitter爆料,烏克蘭政府機構遭大規模攻擊,其中烏克蘭副總理的電腦均遭受攻擊,目前騰訊電腦管家已經確認該病毒為Petya勒索病毒變種。Petya勒索病毒變種中毒後會掃描內網的機器,透過永恆之藍漏洞自傳播到內網的機器,達到快速傳播的目的。

有國外安全研究人員認為,Petya勒索病毒變種會透過郵箱附件傳播,利用攜帶漏洞的DOC文件進行攻擊。中毒後,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒程式碼會在Windows作業系統之前接管電腦,執行加密等惡意操作。電腦重啟後,會顯示一個偽裝的介面,此介面實際上是病毒顯示的,介面上假稱正在進行磁碟掃描,實際上正在對磁碟資料進行加密操作。

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

當加密完成後,病毒要求受害者支付價值300美元的比特幣之後,才會回覆解密金鑰。

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

傳播渠道分析

可能傳播渠道-郵箱傳播

根據烏克蘭CERT官方訊息,郵件附件被認為該次病毒攻擊的傳播源頭,郵箱附件是一個DOC文件,文件透過漏洞CVE-2017-0199來觸發攻擊,電腦管家也溯源到了國內類似郵件攻擊最早發生在6月27日早上。在實際測試過程中,並沒有完整重現整個攻擊過程。

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

可能傳播渠道-MeDoc

很多安全研究機構認為,這次Petya的攻擊源是由於MeDoc軟體的更新服務被劫持導致。

詳細功能分析

感染過程分析

1,寫MBR

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

0~0×21扇區儲存的是病毒的MBR和微核心程式碼資料,而原始的MBR被加密儲存在第0×22扇區。

2,加密檔案

1)遍歷分割槽

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

2)要加密的檔案型別

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

3)檔案加密過程

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

3、傳播方式

1)可能透過管理共享在區域網內傳播,而後透過wmic來實現遠端命令執行。

C:\Windows\dllhost。dat \\10。141。2。26 -accepteula -s -d C:\Windows\System32\rundll32。exe “C:\Windows\perfc。dat”,##1 60 “RCAD\ryngarus。ext:FimMe21Pass!roy4″”RCAD\svcomactions:3GfmGeif”

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

c:\windows\system32\wbem\wmic。exe /node:”IP_ADDR” /user:”User” /password:”PWD” process call create “c:\windows\system32\rundll32。exe” \”c:\windows\perfc。dat\” #1

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

2)透過EternalBlue和EternalRomance漏洞傳播。

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

程式發動攻擊前,先嚐試獲取到可攻擊的IP地址列表:

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

磁碟加密和勒索細節

主要功能描述:

1、系統重啟,惡意MBR載入;

2、檢測磁碟是否被加密,如果沒有則顯示偽造 的檢測磁碟介面、並加密MFT;

3、顯示紅色的勒索介面,讓使用者輸入秘鑰;

細節分析:

MBR啟動後,將1-21扇區資料複製到8000地址 處,然後Jmp執行8000地址程式碼

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

透過讀取標記位判斷磁碟已經被加密

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

若磁碟沒有加密,則顯示偽造的檢測磁碟介面,並加密MFT

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

加密完成後,讀取扇區後面的勒索 語句

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

將獲取到的語句顯示到螢幕上

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

從螢幕獲取秘鑰並驗證

Petya 勒索軟體新變種詳細分析報告

Petya 勒索軟體新變種詳細分析報告

安全建議

打補丁

參考資料

1, Petya勒索病毒首發技術分析 - FreeBuf。COM | 關注駭客與極客

2, Schroedinger‘s Pet(ya) - Securelist

3, Petya Ransomware Attack - What’s Known

4, Petya Ransomware Spreading Via EternalBlue Exploit « Threat Research Blog

5, Threat Brief: Petya Ransomware A Global Attack Spreading Fast | Check Point Blog

6,

https://

gist。github。com/vulners

Com/65fe44d27d29d7a5de4c176baba45759

注:病毒樣本見《安全大事件》:快訊:烏克蘭、俄羅斯、印度等多國遭受Petya勒索病毒襲擊(附樣本) - 知乎專欄

http://

image。3001。net/images/2

0170628/14986057777977。png