天堂精品视频,亚洲精品久久久蜜桃,天堂а√在线官网

錦州市廣廈電腦維修|上門維修電腦|上門做系統(tǒng)|0416-3905144熱誠服務(wù),錦州廣廈維修電腦,公司IT外包服務(wù)

		設(shè)為首頁
		收藏本站

首頁

公司介紹

服務(wù)項(xiàng)目

服務(wù)報價

維修流程

IT外包服務(wù)

服務(wù)器維護(hù)

技術(shù)文章

常見故障

錦州市廣廈電腦維修|上門維修電腦|上門做系統(tǒng)|0416-3905144熱誠服務(wù) → 技術(shù)文章

Petya勒索軟件新變種詳細(xì)分析報告

作者: 佚名日期:2017-06-29 08:31:33 來源: 本站整理

Petya新變種簡介

據(jù)twitter爆料，烏克蘭政府機(jī)構(gòu)遭大規(guī)模攻擊，其中烏克蘭副總理的電腦均遭受攻擊，目前騰訊電腦管家已經(jīng)確認(rèn)該病毒為Petya勒索病毒變種。Petya勒索病毒變種中毒后會掃描內(nèi)網(wǎng)的機(jī)器，通過永恒之藍(lán)漏洞自傳播到內(nèi)網(wǎng)的機(jī)器，達(dá)到快速傳播的目的。有國外安全研究人員認(rèn)為，Petya勒索病毒變種會通過郵箱附件傳播，利用攜帶漏洞的DOC文檔進(jìn)行攻擊。中毒后，病毒會修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時，病毒代碼會在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。電腦重啟后，會顯示一個偽裝的界面，此界面實(shí)際上是病毒顯示的，界面上假稱正在進(jìn)行磁盤掃描，實(shí)際上正在對磁盤數(shù)據(jù)進(jìn)行加密操作。

當(dāng)加密完成后，病毒要求受害者支付價值300美元的比特幣之后，才會回復(fù)解密密鑰。

傳播渠道分析可能傳播渠道-郵箱傳播

根據(jù)烏克蘭CERT官方消息，郵件附件被認(rèn)為該次病毒攻擊的傳播源頭，郵箱附件是一個DOC文檔，文檔通過漏洞CVE-2017-0199來觸發(fā)攻擊，電腦管家也溯源到了國內(nèi)類似郵件攻擊最早發(fā)生在6月27日早上。在實(shí)際測試過程中，并沒有完整重現(xiàn)整個攻擊過程。

可能傳播渠道-MeDoc

很多安全研究機(jī)構(gòu)認(rèn)為，這次Petya的攻擊源是由于MeDoc軟件的更新服務(wù)被劫持導(dǎo)致。

詳細(xì)功能分析感染過程分析

1，寫MBR

0~0x21扇區(qū)保存的是病毒的MBR和微內(nèi)核代碼數(shù)據(jù)，而原始的MBR被加密保存在第0x22扇區(qū)。

2，加密文件

1）遍歷分區(qū)

2）要加密的文件類型

3）文件加密過程

3、傳播方式

1）可能通過管理共享在局域網(wǎng)內(nèi)傳播，而后通過wmic來實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。

C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"

c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" \"c:\windows\perfc.dat\" #1

2）通過EternalBlue和EternalRomance漏洞傳播。

程序發(fā)動攻擊前，先嘗試獲取到可攻擊的IP地址列表：

依次獲�。阂呀CP連接的IP、本地ARP緩存的IP以及局域網(wǎng)內(nèi)存在的服務(wù)器IP地址。收集完這些地址后，便進(jìn)行進(jìn)一步攻擊。

磁盤加密和勒索細(xì)節(jié)

主要功能描述：

1、系統(tǒng)重啟，惡意MBR加載；

2、檢測磁盤是否被加密，如果沒有則顯示偽造的檢測磁盤界面、并加密MFT；

3、顯示紅色的勒索界面，讓用戶輸入秘鑰；

細(xì)節(jié)分析：

MBR啟動后，將1-21扇區(qū)數(shù)據(jù)復(fù)制到8000地址處，然后Jmp執(zhí)行8000地址代碼

通過讀取標(biāo)記位判斷磁盤已經(jīng)被加密

若磁盤沒有加密，則顯示偽造的檢測磁盤界面，并加密MFT

加密完成后，讀取扇區(qū)后面的勒索語句

將獲取到的語句顯示到屏幕上

從屏幕獲取秘鑰并驗(yàn)證

安全建議

1，及時下載安裝騰訊電腦管家，并使用勒索病毒免疫工具，防患于未然。（免疫工具下載地址http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/PetyaFix_2_0_766_127.exe）

2，及時使用電腦管家將補(bǔ)丁打全。

3，遇到可疑文件，特別是陌生郵件中的附件，不要輕易打開，首先使用電腦管家進(jìn)行掃描，或上傳至哈勃分析系統(tǒng)（https://habo.qq.com/）對文件進(jìn)行安全性檢測。

熱門文章

機(jī)械革命S1 PRO－02 開機(jī)不顯示黑...

聯(lián)想ThinkPad NM-C641上電掉電點(diǎn)不...

三星一體激光打印機(jī)SCX－4521F維修...

通過串口命令查看EMMC擦寫次數(shù)和判...

IIS 8 開啟 GZIP壓縮來減少網(wǎng)絡(luò)請求...

索尼kd-49x7500e背光一半暗且閃爍 ...

樓宇對講門禁讀卡異常維修，讀卡芯...

新款海信電視機(jī)始終停留在開機(jī)界面...

常見打印機(jī)清零步驟

安裝驅(qū)動時提示不包含數(shù)字簽名的解...

共享打印機(jī)需要密碼的解決方法

圖解Windows 7系統(tǒng)快速共享打印機(jī)的...

報修電話：13840665804 QQ：174984393 (聯(lián)系人:毛先生)
E-Mail：174984393@qq.com
維修中心地址：錦州廣廈電腦城
ICP備案/許可證號：遼ICP備2023002984號-1
上門服務(wù)區(qū)域: 遼寧錦州市區(qū)
主要業(yè)務(wù)：修電腦,電腦修理,電腦維護(hù),上門維修電腦,黑屏藍(lán)屏死機(jī)故障排除,無線上網(wǎng)設(shè)置,IT服務(wù)外包,局域網(wǎng)組建,ADSL共享上網(wǎng),路由器設(shè)置,數(shù)據(jù)恢復(fù),密碼破解,光盤刻錄制作等服務(wù)

技術(shù)支持:微軟等