文档章节

重要通知|针对新一轮比特币勒索蠕虫病毒的安全建议。

_夜枫
 _夜枫
发布于 2017/06/28 14:08
字数 1089
阅读 20
收藏 0

原文链接

 

6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。

雷锋网报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

image


阿里云安全团队第一时间拿到病毒样本,并进行了分析:

这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。

目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑。

一、Petya与WannaCry病毒的对比
1、加密目标文件类型

Petya加密的文件类型相比WannaCry少。

Petya加密的文件类型一共65种,WannaCry为178种,不过已经包括了常见文件类型。


2、支付赎金

Petya需要支付300美金,WannaCry需要支付600美金。

二、云用户是否受影响?
截止发稿,云上暂时未发现受影响用户。

6月28日凌晨,阿里云对外发布了公告预警。

image

 

三、勒索病毒传播方式分析
Petya勒索蠕虫通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染Petya勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。

阿里云安全专家研究发现,Petya勒索病毒在内网系统中,主要通过Windows的协议进行横向移动。

主要通过Windows管理体系结构(Microsoft Windows Management Instrumentation),和PSEXEC(SMB协议)进行扩散。

截止到当前,黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 个比特币(1比特币=2459美金),33笔交易,说明已经有用户支付了赎金。

四、技术和加密过程分析
阿里云安全专家对Petya样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。如下图显示的为病毒伪装的磁盘扫描程序。

image


Petya病毒对勒索对象的加密,分为以下7个步骤:

image


首先,函数sub_10001EEF是加密操作的入口。遍历所有磁盘,对每个固定磁盘创建一个线程执行文件遍历和加密操作,线程参数是一个结构体,包含一个公钥和磁盘根路径。

image


然后,在线程函数(StartAddress)中,先获取密钥容器,

pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"

dwProvType=PROV_RSA_AES Provider为RSA_AES。


image


调用sub_10001B4E,通过CryptGenKey生成AES128密钥,用于后边进行文件加密。
 

image


如果生成密钥成功,接着调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和保存密钥的功能。

image


在sub_10001973函数中判断了只对特定文件后缀加密。

image


sub_10001D32函数功能是将密钥加密并写入磁盘根路径的README.TXT文件中,


image


该函数在开始时调用了sub_10001BA0获取一个程序内置的公钥

image


之后,调用sub_10001C7F导出AES密钥,在这个函数中用前边的公钥对它加密。

image


最后,在README.TXT中写了一段提示付款的文字,并且将加密后的密钥写入其中。

因为密钥经过了程序中内置的公钥加密,被勒索对象必须要有黑客的私钥才能解密。这也就造成了勒索加密的不可逆性。

image

 

五、安全建议
目前勒索者使用的邮箱已经被关停,不建议支付赎金。


image

 

所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。

对大型企业或组织机构,面对成百上千台机器,最好还是使用专业客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。
可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据进行备份,并同时做好安全防护,避免被感染和损坏。

 

 

原文链接

 

本文转载自:http://click.aliyun.com/m/24392/  

_夜枫
粉丝 10
博文 506
码字总数 0
作品 0
朝阳
后端工程师
私信 提问
救命必看!Windows 勒索病毒最全攻略、补丁下载

5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,大量个人和企业、机构用户中招。 与以往不同的是,这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包...

两味真火
2017/05/14
5.2K
19
勒索案频出,比特币支付究竟是“矛”or“盾”?

币梗日常 勒索病毒体 我们处在互联网时代,病毒袭击总是难免的。 近两年来勒索病毒的频繁爆发总是能让各大BOSS捶胸顿足,360度无死角各种防,也还是防不胜防。 现在有了比特币这种半匿名币,...

Cindy_e9ed
2018/12/20
0
0
网络黑吃黑大戏开演:罪犯借 Tor 代理转移比特币赎金

随着比特币等虚拟货币价格不断攀升,眼馋的黑客们也制造了一波又一波的骚操作、神走位,通过盗币大发横财。雷锋网(公众号:雷锋网)就曾盘点过8大奇葩挖矿木马的敛财之道以及在代币蛋糕上,黑...

大壮旅
2018/02/01
0
0
【读书】《图说区块链》|(二)区块链原理(2)

【本文由赞我(zaneds.com)独家冠名】 文/鹤兰 上期我们聊了区块链原理中的定义和核心概念,本期我们一起来认识下比特币。具体内容包括比特币病毒、比特币生产过程、硬分叉和软分叉的问题。其...

鹤兰
2018/08/09
0
0
Oracle数据库勒索病毒卷土重来,安全厂商要做什么

不久前国家信息安全漏洞共享平台正式发布通告“Oracle数据库勒索病毒RushQL死灰复燃”。 事实上,RushQL勒索病毒已经不是第一次肆虐Oracle数据库,早在2016年11月就已经在全球掀起了一场血雨...

又田
2018/11/29
0
0

没有更多内容

加载失败,请刷新页面

加载更多

OSChina 周六乱弹 —— 早上儿子问我他是怎么来的

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @凉小生 :#今日歌曲推荐# 少点戾气,愿你和这个世界温柔以待。中岛美嘉的单曲《僕が死のうと思ったのは (曾经我也想过一了百了)》 《僕が死の...

小小编辑
今天
1K
12
Excption与Error包结构,OOM 你遇到过哪些情况,SOF 你遇到过哪些情况

Throwable 是 Java 中所有错误与异常的超类,Throwable 包含两个子类,Error 与 Exception 。用于指示发生了异常情况。 Java 抛出的 Throwable 可以分成三种类型。 被检查异常(checked Exc...

Garphy
今天
34
0
计算机实现原理专题--二进制减法器(二)

在计算机实现原理专题--二进制减法器(一)中说明了基本原理,现准备说明如何来实现。 首先第一步255-b运算相当于对b进行按位取反,因此可将8个非门组成如下图的形式: 由于每次做减法时,我...

FAT_mt
昨天
38
0
好程序员大数据学习路线分享函数+map映射+元祖

好程序员大数据学习路线分享函数+map映射+元祖,大数据各个平台上的语言实现 hadoop 由java实现,2003年至今,三大块:数据处理,数据存储,数据计算 存储: hbase --> 数据成表 处理: hive --> 数...

好程序员官方
昨天
53
0
tabel 中含有复选框的列 数据理解

1、el-ui中实现某一列为复选框 实现多选非常简单: 手动添加一个el-table-column,设type属性为selction即可; 2、@selection-change事件:选项发生勾选状态变化时触发该事件 <el-table @sel...

everthing
昨天
18
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部