-
-
[转帖]Petya勒索软件新变种详细分析报告
-
发表于: 2017-6-28 10:31
-
Petya新变种简介
据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。
当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
传播渠道分析
可能传播渠道-邮箱传播
根据乌克兰CERT官方消息,邮件附件被认为该次病毒攻击的传播源头,邮箱附件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中,并没有完整重现整个攻击过程。
可能传播渠道-MeDoc
很多安全研究机构认为,这次Petya的攻击源是由于MeDoc软件的更新服务被劫持导致。
详细功能分析
感染过程分析
1,写MBR
0~0x21扇区保存的是病毒的MBR和微内核代码数据,而原始的MBR被加密保存在第0x22扇区。
2,加密文件
1)遍历分区
2)要加密的文件类型
3)文件加密过程
3、传播方式
1)可能通过管理共享在局域网内传播,而后通过wmic来实现远程命令执行。
C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4"
"RCAD\svcomactions:3GfmGeif"
c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" \"c:\windows\perfc.dat\" #1
2)通过EternalBlue和EternalRomance漏洞传播。
程序发动攻击前,先尝试获取到可攻击的IP地址列表:
依次获取:已建立TCP连接的IP、本地ARP缓存的IP以及局域网内存在的服务器IP地址。收集完这些地址后,便进行进一步攻击。
磁盘加密和勒索细节
主要功能描述:
1、系统重启,恶意MBR加载;
2、检测磁盘是否被加密,如果没有则显示伪造的检测磁盘界面、并加密MFT;
3、显示红色的勒索界面,让用户输入秘钥;
细节分析:
MBR启动后,将1-21扇区数据复制到8000地址处,然后Jmp执行8000地址代码
通过读取标记位判断磁盘已经被加密
若磁盘没有加密,则显示伪造的检测磁盘界面,并加密MFT
加密完成后,读取扇区后面的勒索语句
将获取到的语句显示到屏幕上
从屏幕获取秘钥并验证
安全建议
1, 及时下载安装腾讯电脑管家,并使用勒索病毒免疫工具,防患于未然。(免疫工具下载地址99cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8D9K9h3g2V1y4W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3K9h3&6$3j5#2)9J5c8Y4S2X3M7%4m8W2k6h3c8Q4x3V1k6I4M7i4m8U0L8h3N6J5i4K6u0r3k6r3!0%4L8X3I4G2j5h3c8Q4x3V1k6b7k6i4c8&6j5f1k6A6P5q4)9#2k6U0u0Q4y4h3j5H3i4K6g2X3y4K6j5$3i4K6g2X3x3e0t1%4i4K6u0W2k6i4S2W2i4@1g2r3i4@1u0o6i4K6R3&6
2, 及时使用电脑管家将补丁打全。
3, 遇到可疑文件,特别是陌生邮件中的附件,不要轻易打开,首先使用电脑管家进行扫描,或上传至哈勃分析系统(3c7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5j5h3u0G2i4K6u0W2M7i4q4Q4x3X3g2U0L8$3#2Q4x3V1k6Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0g2Q4b7f1k6Q4b7U0W2Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0S2Q4b7V1k6Q4z5f1u0Q4c8e0S2Q4b7e0q4Q4z5p5y4Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0g2Q4z5o6g2Q4b7e0S2Q4c8e0k6Q4z5o6m8Q4b7e0N6Q4c8e0k6Q4b7e0y4Q4z5o6m8Q4c8e0k6Q4b7U0g2Q4z5p5u0Q4c8e0y4Q4z5o6m8Q4z5o6t1`.
参考资料
1, f30K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4y4&6M7%4c8W2L8g2)9J5c8U0p5K6z5o6f1$3y4#2)9J5k6h3S2@1L8h3H3`.
2, 8b2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6k6h3y4#2M7X3g2D9K9i4y4@1i4K6u0W2j5$3!0E0i4K6u0r3M7$3y4Z5M7X3!0W2k6r3W2F1k6$3g2J5M7#2)9J5k6s2m8W2N6s2W2S2i4K6u0r3y4K6R3^5y4K6m8Q4x3V1j5`.
3, 32bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2E0j5h3I4%4j5i4u0W2N6r3g2U0K9q4)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3e0N6Q4x3V1j5H3y4W2)9J5c8Y4m8W2N6s2W2S2i4K6u0V1M7X3q4F1M7$3!0E0N6$3q4J5k6g2)9J5k6r3q4@1N6r3q4U0K9#2)9J5k6s2N6Z5j5i4c8K6i4K6u0V1K9$3&6G2N6$3&6Q4x3X3g2Z5N6r3#2D9
4, 584K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3K9i4u0W2k6i4W2W2i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8Y4c8Z5M7X3g2S2N6q4)9J5k6s2u0W2M7$3g2S2M7X3y4Z5i4K6u0r3x3U0l9I4y4#2)9J5c8U0l9$3i4K6u0r3M7r3g2@1P5h3q4Q4x3X3c8J5j5h3&6K6L8$3#2%4j5i4u0W2i4K6u0V1M7%4m8J5k6h3q4V1K9h3&6Y4i4K6u0V1N6X3W2S2i4K6u0V1k6i4c8W2M7X3&6S2L8r3u0D9N6h3g2Q4x3X3c8W2P5s2m8D9L8$3W2@1i4K6u0W2K9s2c8E0L8l9`.`.
5, f7aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0K9r3g2U0K9%4m8G2K9h3&6@1i4K6u0W2j5$3!0E0i4K6u0r3x3U0l9I4y4#2)9J5c8U0l9$3i4K6u0r3x3U0N6Q4x3V1k6Y4L8r3!0T1j5h3I4Q4x3X3c8J5j5h3&6K6L8$3#2%4j5i4u0W2i4K6u0V1j5i4c8@1j5h3y4C8i4K6u0V1M7%4m8J5k6h3q4V1K9h3&6Y4i4K6u0V1k6X3q4K6N6q4)9J5c8R3`.`.
6, 323K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2j5$3!0E0i4K6u0r3N6Y4g2D9L8X3g2J5M7@1y4G2L8g2)9J5c8U0j5#2k6X3f1@1y4r3b7J5y4$3b7J5z5h3b7%4j5e0g2V1k6e0c8U0x3e0M7$3j5X3q4T1j5e0b7#2y4K6f1&6
来源:腾讯电脑管家
|
|
|---|---|
