文档章节

技术分析 | 新型勒索病毒Petya如何对你的文件进行加密

阿里聚安全
 阿里聚安全
发布于 2017/06/28 10:44
字数 1113
阅读 23
收藏 0
点赞 0
评论 0

6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。

媒体报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。 输入图片说明

阿里云安全团队第一时间拿到病毒样本,并进行了分析:

这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。

目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑。

一、Petya与WannaCry病毒的对比

1、加密目标文件类型

Petya加密的文件类型相比WannaCry少。

Petya加密的文件类型一共65种,WannaCry为178种,不过已经包括了常见文件类型。

输入图片说明

2、支付赎金 Petya需要支付300美金,WannaCry需要支付600美金。

二、云用户是否受影响? 截止发稿,云上暂时未发现受影响用户。 6月28日凌晨,阿里云对外发布了公告预警。

输入图片说明

三、勒索病毒传播方式分析 Petya勒索蠕虫通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染Petya勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。

阿里云安全专家研究发现,Petya勒索病毒在内网系统中,主要通过Windows的协议进行横向移动。

主要通过Windows管理体系结构(Microsoft Windows Management Instrumentation),和PSEXEC(SMB协议)进行扩散。

截止到当前,黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 个比特币(1比特币=2459美金),33笔交易,说明已经有用户支付了赎金。

四、技术和加密过程分析 阿里云安全专家对Petya样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。如下图显示的为病毒伪装的磁盘扫描程序。

输入图片说明

Petya病毒对勒索对象的加密,分为以下7个步骤:

输入图片说明

首先,函数sub_10001EEF是加密操作的入口。遍历所有磁盘,对每个固定磁盘创建一个线程执行文件遍历和加密操作,线程参数是一个结构体,包含一个公钥和磁盘根路径。

输入图片说明

然后,在线程函数(StartAddress)中,先获取密钥容器,

pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"

dwProvType=PROV_RSA_AES Provider为RSA_AES。

输入图片说明

调用sub_10001B4E,通过CryptGenKey生成AES128密钥,用于后边进行文件加密。

输入图片说明

如果生成密钥成功,接着调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和保存密钥的功能。

输入图片说明

在sub_10001973函数中判断了只对特定文件后缀加密。

输入图片说明

sub_10001D32函数功能是将密钥加密并写入磁盘根路径的README.TXT文件中,

输入图片说明

该函数在开始时调用了sub_10001BA0获取一个程序内置的公钥

输入图片说明

之后,调用sub_10001C7F导出AES密钥,在这个函数中用前边的公钥对它加密。

输入图片说明

最后,在README.TXT中写了一段提示付款的文字,并且将加密后的密钥写入其中。

因为密钥经过了程序中内置的公钥加密,被勒索对象必须要有黑客的私钥才能解密。这也就造成了勒索加密的不可逆性。

输入图片说明

五、安全建议 目前勒索者使用的邮箱已经被关停,不建议支付赎金。

输入图片说明

所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。 对大型企业或组织机构,面对成百上千台机器,最好还是使用专业客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。 可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据进行备份,并同时做好安全防护,避免被感染和损坏。


© 著作权归作者所有

共有 人打赏支持
阿里聚安全
粉丝 26
博文 89
码字总数 191047
作品 0
杭州
广东竟成勒索软件攻击最广区域?这份报告还有防勒指南

勒索软件是近两年来影响最大,也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。 从 ...

又田
2017/12/22
0
0
重要预警 | MindLost勒索软件安全建议,安骑士可检测防御

1月15日,安全研究组织MalwareHunter发现了MindLost勒索软件的第一批样本。事件披露后,阿里云安全团队第一时间对该勒索软件进行评估,更新病毒库;并正在对最新的病毒样本进行技术分析。 截...

Mr_zebra
02/05
0
0
WannaCry爆发一周年,500万台电脑惨遭勒索病毒攻击

  距离WannaCry勒索病毒大规模爆发已经过去了整整一年,但WannaCry之后,勒索病毒这个恶意软件大家族中的小分 支不断滋长蔓延,新型变种不断涌现,从2017年5月至2018年4月,近500万台电脑遭...

FreeBuf
05/13
0
0
比特币“病毒”刚走,新电脑病毒欧洲多国传播

新超强电脑病毒正在包括俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延。有机场、银行及大型企业被报告感染病毒。这类病毒与之前的比特币病毒相似。 在五月份有一场勒索病毒,这病毒在全...

qq595361f300e9a
06/28
0
0
国家互联网应急中心提出Petya勒索病毒防护建议

据国家互联网应急中心网站消息,针对乌克兰等多国遭遇Petya勒索病毒袭击,国家互联网应急中心提出防护策略五点建议。 一是不要轻易点击不明附件,尤其是rtf、doc等格式文件。 二是内网中存在...

玄学酱
03/26
0
0
勒索软件不赚钱后,黑客换了4种姿势

最近,雷锋网看到了好几则关于勒索软件(病毒)的消息,一是火绒说,国内勒索病毒疫情严重,每日十多万台电脑被感染。 好像很可怕的样子。。。 然后,腾讯和360说,他们发现了一款奇葩的勒索...

李勤
04/13
0
0
当我们谈论勒索病毒时,我们谈些什么?

  当整个安全圈还在回味2018年春晚王菲和那英流金20年时,黑客们已悄然进入工作状态,在大年初八就完成了震惊全国安全圈的一件大事,湖南省儿童医院遭受勒索病毒攻击,要求6个小时内支付1...

FreeBuf
02/27
0
0
WannaCry蠕虫一周年,勒索病毒狼烟四起

  去年5月12日,WannaCry蠕虫在全球范围大爆发,引爆互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在数小时内影响近150个国家,一些政府机关、高校、医院的电脑屏幕都...

FreeBuf
05/11
0
0
太嚣张!Petya 超强电脑勒索病毒赎金暴涨至 25 万美元

IT之家7月6日消息 此前IT之家报道过在6月底一款一款名为Petya的新型勒索病毒,就像之前的WannaCry那样使用美国国家安全局(NSA)泄露的“永恒之蓝”漏洞,在世界各地传播。后来微软证明,感染...

两味真火
2017/07/06
2.2K
13

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Spring Cloud Gateway 接口文档聚合实现

在微服务架构下,通常每个微服务都会使用Swagger来管理我们的接口文档,当微服务越来越多,接口查找管理无形中要浪费我们不少时间,毕竟懒是程序员的美德。 由于swagger2暂时不支持webflux 走...

冷冷gg
33分钟前
13
0
流利阅读笔记30-20180719待学习

1.今日导读 2.带着问题听讲解 3.新闻正文(中英文对照) 4.重点词汇 5.拓展内容

aibinxiao
36分钟前
1
0
OSChina 周五乱弹 —— 我们是食物链的最底层

Osc乱弹歌单(2018)请戳(这里) 【今日歌曲】 @温家成 :分享谢安琪的单曲《姿色份子》 《姿色份子》- 谢安琪 手机党少年们想听歌,请使劲儿戳(这里) @贪吃飒:最近p2p怎么了、半个月爆了...

小小编辑
49分钟前
6
1
Android Studio 3.0 之后打包apk出现应用未安装问题

1、废话 出现这个问题的原因,并不是只有一个,而是有多个原因,不懂的估计会被搞得一头雾水,下面我列举的是我遇到的几种问题和网友遇到的几种问题,但不一定是全部,也有可能有些莫名其妙的...

她叫我小渝
今天
0
0
前端基础

1. get请求传参长度的误区 误区:我们经常说get请求参数的大小存在限制,而post请求的参数大小是无限制的。 实际上HTTP 协议从未规定 GET/POST 的请求长度限制是多少。对get请求参数的限制是...

wenxingjun
今天
0
0
拦截SQLSERVER的SSL加密通道替换传输过程中的用户名密码实现运维审计(一)

工作准备 •一台SQLSERVER 2005/SQLSERVER 2008服务 •SQLSERVER jdbc驱动程序 •Java开发环境eclipse + jdk1.8 •java反编译工具JD-Core 反编译JDBC分析SQLSERVER客户端与服务器通信原理 SQ...

紅顏為君笑
今天
9
0
jQuery零基础入门——(六)修改DOM结构

《jQuery零基础入门》系列博文是在廖雪峰老师的博文基础上,可能补充了个人的理解和日常遇到的点,用我的理解表述出来,主干出处来自廖雪峰老师的技术分享。 在《零基础入门JavaScript》的时...

JandenMa
今天
0
0
linux mint 1.9 qq 安装

转: https://www.jianshu.com/p/cdc3d03c144d 1. 下载 qq 轻聊版,可在百度搜索后下载 QQ7.9Light.exe 2. 去wine的官网(https://wiki.winehq.org/Ubuntu) 安装 wine . 提醒网页可以切换成中...

Canaan_
今天
0
0
PHP后台运行命令并管理运行程序

php后台运行命令并管理后台运行程序 class ProcessModel{ private $pid; private $command; private $resultToFile = ''; public function __construct($cl=false){......

colin_86
今天
1
0
数据结构与算法4

在此程序中,HighArray类中的find()方法用数据项的值作为参数传递,它的返回值决定是否找到此数据项。 insert()方法向数组下一个空位置放置一个新的数据项。一个名为nElems的字段跟踪记录着...

沉迷于编程的小菜菜
今天
1
1

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部