文档章节

技术分析 | 新型勒索病毒Petya如何对你的文件进行加密

阿里聚安全
 阿里聚安全
发布于 2017/06/28 10:44
字数 1113
阅读 23
收藏 0

6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。

媒体报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。 输入图片说明

阿里云安全团队第一时间拿到病毒样本,并进行了分析:

这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。

目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑。

一、Petya与WannaCry病毒的对比

1、加密目标文件类型

Petya加密的文件类型相比WannaCry少。

Petya加密的文件类型一共65种,WannaCry为178种,不过已经包括了常见文件类型。

输入图片说明

2、支付赎金 Petya需要支付300美金,WannaCry需要支付600美金。

二、云用户是否受影响? 截止发稿,云上暂时未发现受影响用户。 6月28日凌晨,阿里云对外发布了公告预警。

输入图片说明

三、勒索病毒传播方式分析 Petya勒索蠕虫通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染Petya勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。

阿里云安全专家研究发现,Petya勒索病毒在内网系统中,主要通过Windows的协议进行横向移动。

主要通过Windows管理体系结构(Microsoft Windows Management Instrumentation),和PSEXEC(SMB协议)进行扩散。

截止到当前,黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 个比特币(1比特币=2459美金),33笔交易,说明已经有用户支付了赎金。

四、技术和加密过程分析 阿里云安全专家对Petya样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。如下图显示的为病毒伪装的磁盘扫描程序。

输入图片说明

Petya病毒对勒索对象的加密,分为以下7个步骤:

输入图片说明

首先,函数sub_10001EEF是加密操作的入口。遍历所有磁盘,对每个固定磁盘创建一个线程执行文件遍历和加密操作,线程参数是一个结构体,包含一个公钥和磁盘根路径。

输入图片说明

然后,在线程函数(StartAddress)中,先获取密钥容器,

pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"

dwProvType=PROV_RSA_AES Provider为RSA_AES。

输入图片说明

调用sub_10001B4E,通过CryptGenKey生成AES128密钥,用于后边进行文件加密。

输入图片说明

如果生成密钥成功,接着调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和保存密钥的功能。

输入图片说明

在sub_10001973函数中判断了只对特定文件后缀加密。

输入图片说明

sub_10001D32函数功能是将密钥加密并写入磁盘根路径的README.TXT文件中,

输入图片说明

该函数在开始时调用了sub_10001BA0获取一个程序内置的公钥

输入图片说明

之后,调用sub_10001C7F导出AES密钥,在这个函数中用前边的公钥对它加密。

输入图片说明

最后,在README.TXT中写了一段提示付款的文字,并且将加密后的密钥写入其中。

因为密钥经过了程序中内置的公钥加密,被勒索对象必须要有黑客的私钥才能解密。这也就造成了勒索加密的不可逆性。

输入图片说明

五、安全建议 目前勒索者使用的邮箱已经被关停,不建议支付赎金。

输入图片说明

所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。 对大型企业或组织机构,面对成百上千台机器,最好还是使用专业客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。 可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据进行备份,并同时做好安全防护,避免被感染和损坏。


© 著作权归作者所有

共有 人打赏支持
阿里聚安全
粉丝 28
博文 89
码字总数 191047
作品 0
杭州
私信 提问
广东竟成勒索软件攻击最广区域?这份报告还有防勒指南

勒索软件是近两年来影响最大,也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。 从 ...

又田
2017/12/22
0
0
重要预警 | MindLost勒索软件安全建议,安骑士可检测防御

1月15日,安全研究组织MalwareHunter发现了MindLost勒索软件的第一批样本。事件披露后,阿里云安全团队第一时间对该勒索软件进行评估,更新病毒库;并正在对最新的病毒样本进行技术分析。 截...

Mr_zebra
02/05
0
0
比特币“病毒”刚走,新电脑病毒欧洲多国传播

新超强电脑病毒正在包括俄罗斯、英国、乌克兰等在内的欧洲多个国家迅速蔓延。有机场、银行及大型企业被报告感染病毒。这类病毒与之前的比特币病毒相似。 在五月份有一场勒索病毒,这病毒在全...

qq595361f300e9a
06/28
0
0
WannaCry爆发一周年,500万台电脑惨遭勒索病毒攻击

  距离WannaCry勒索病毒大规模爆发已经过去了整整一年,但WannaCry之后,勒索病毒这个恶意软件大家族中的小分 支不断滋长蔓延,新型变种不断涌现,从2017年5月至2018年4月,近500万台电脑遭...

FreeBuf
05/13
0
0
新勒索病毒 Petya 席卷欧洲 传播方式与 WannaCry 类似

一种类似于“WannaCry”的新勒索病毒席卷了欧洲,导致俄乌两国80多家公司遭殃。据了解,这种病毒锁住了大量的电脑,要求用户支付300美元的加密数字货币才能解锁。 6月27日,周二,一种类似于...

局长
2017/06/28
1K
15

没有更多内容

加载失败,请刷新页面

加载更多

Spring源码学习笔记-1-Resource

打算补下基础,学习下Spring源码,参考书籍是《Spring源码深度解析》,使用版本是Spring 3.2.x,本来想试图用脑图记录的,发现代码部分不好贴,还是作罢,这里只大略记录下想法,不写太细了 ...

zypy333
今天
10
0
RestClientUtil和ConfigRestClientUtil区别说明

RestClientUtil directly executes the DSL defined in the code. ConfigRestClientUtil gets the DSL defined in the configuration file by the DSL name and executes it. RestClientUtil......

bboss
今天
16
0

中国龙-扬科
昨天
2
0
Linux系统设置全局的默认网络代理

更改全局配置文件/etc/profile all_proxy="all_proxy=socks://rahowviahva.ml:80/"ftp_proxy="ftp_proxy=http://rahowviahva.ml:80/"http_proxy="http_proxy=http://rahowviahva.ml:80/"......

临江仙卜算子
昨天
10
0
java框架学习日志-6(bean作用域和自动装配)

本章补充bean的作用域和自动装配 bean作用域 之前提到可以用scope来设置单例模式 <bean id="type" class="cn.dota2.tpye.Type" scope="singleton"></bean> 除此之外还有几种用法 singleton:......

白话
昨天
10
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部