昨晚21時左右,烏克蘭遭受Petya勒索程序大規模攻擊。包括首都基輔的鮑里斯波爾國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。實際上Petya波及的國家還包括英國、印度、荷蘭、西班牙、丹麥等。
Petya看來大有與前不久WannaCry爭輝的意思。這款病毒到底有什么特性能夠讓烏克蘭乃至全球的眾多商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊呢?
病毒概況
部分安全公司包括賽門鐵克都認為,這次的勒索程序就是Petya的一個變種。不過卡巴斯基實驗室的研究指出,該勒索程序不能認為是Petya的變種,它只是與Petya在字符串上有所相似,所以卡巴斯基為其取名為“ExPetr”(還有研究人員將其稱為NotPetya、Petna或者SortaPetya)。卡巴斯基在其報告中表示未來還會對ExPetr進行更為深入的分析。鑒于絕大部分媒體和許多安全公司仍然將其稱作Petya,本文也不對二者進行區分。
去年Petya出現時,我們就曾報道過這款勒索軟件,至少從其行為模式來看與本次爆發的勒索程序還是存在很多相似之處的:
Petya釋放的文件向磁盤頭部寫入惡意代碼,被感染系統的主引導記錄被引導加載程序重寫,并且加載一個微型惡意內核。接著,這個內核開始進行加密。
與傳統的勒索軟件不同的是,Petya并非逐個加密單個文件,而是加密磁盤的MFT,并且破壞MBR,使得用戶無法進入系統。當電腦重啟時,病毒代碼會在Windows操作系統之前接管電腦,執行加密等惡意操作。
重啟電腦后,病毒會顯示一個磁盤掃描界面,但實際上,這個界面是用來偽裝Petya會正在進行的磁盤加密操作。
下圖就是加密完成后,Petya所顯示的界面:
“當您看到這段文字的時候,你的文件已經被加密無法讀取了。你可能在尋找恢復文件的方法,但是不要浪費時間了,除了我們沒人能恢復。”
病毒要求感染者支付300美元的贖金解密文件。
“請按以下要求操作:
1. 發送價值300美元的比特幣到以下地址:1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
2. 發送你的比特幣錢包ID和個人安裝密鑰到wowsmith123456@posteo.net。你的個人安裝密鑰如下:XXXXX。”
想要了解本次Petya變種技術細節的同學可以點擊這里查看騰訊的詳細解讀。
小編查詢發現,截至6月28日發稿前,這個比特幣地址一共收到36筆轉賬,獲得3.6367比特幣,約合人民幣61438元。
而根據VirusTotal的掃描結果,61款殺毒軟件中仍有16款沒有檢測出Petya。
傳播方式
國外媒體報道稱,受到Petya影響最大的地區是烏克蘭。而來自思科Talos、ESET、卡巴斯基實驗室等來源的分析,黑客首先攻擊了M.E.Doc,這是一家烏克蘭的會計軟件廠商。隨后黑客通過M.E.Doc的更新服務器將一個惡意推送推給用戶。用戶更新軟件時,便感染了病毒——這可能是Petya傳播較為廣泛的一種途徑,但最初的傳播方式可能仍然不確定。
M.E.Doc今天早晨承認更新服務器遭到攻擊,但否認傳播了病毒。
注意:
我們的服務器正遭受病毒攻擊。
給您帶來的不便敬請諒解。
另外,我們還從其它來源了解到更多的傳播方式,如Petya還釆用了RTF漏洞(CVE-2017-0199)進行釣魚攻擊,能夠利用微軟Office和寫字板進行遠程代碼執行。微軟在今年4月已經發布了針對這個漏洞的補丁。不過也有安全廠商認為CVE-2017-0199跟此次事件沒有直接關系,也并非最初始的感染源頭,如微步在線的研究:
感染源頭是CVE-2017-0199漏洞嗎?
根據我們捕獲的樣本分析,并沒有發現相應依據。
目前多家安全公司報道稱此次攻擊是利用攜帶CVE-2017-0199漏洞附件的釣魚郵件進行投放,該樣本(SHA256:FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206)執行后下載myguy.xls(SHA256:EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6)文件,進一步該樣本會請求域名french-cooking.com,下載新的Payload (SHA256:120d1876883d4d2ae02b4134bcb1939f270965b7055cb4bdbd17dda1d4a4baa2),經過微步在線確認,該樣本為LokiBot家族,并非Petya家族(注:此樣本會請求域名COFFEINOFFICE.XYZ進行進一步的惡意行為),跟此次事件沒有直接關系,也并非最初始的感染源頭。
但病毒的可怕之處不僅如此,還在于在感染電腦之后的進一步傳播。
Petya利用了“永恒之藍”漏洞,這個存在于Windows SMBv1協議中的漏洞幫助WannaCry病毒在72小時內感染了全球30萬臺電腦。同樣地,微軟也發布了對應補丁。
Petya的傳播特性相比WannaCry有過之而無不及。除了上述的傳播方式,Petya還想了一些其他的辦法進行傳播。
首先Petya會在已經感染的系統中尋找密碼,再想辦法入侵其他系統。前NSA分析員David Kennedy稱,Petya會嘗試在內存或者本地文件系統中提取密碼。
然后,Petya會利用PsExec和WMI。PsExec原本是用來在其他系統上執行某些操作的工具,而Petya把它用來在其他電腦執行惡意代碼。如果受感染的電腦擁有整個網絡的管理權限,整個網絡中的電腦都可能被感染。WMI也是如此。不幸的是,上述的這兩種方法并沒有相應的補丁,所以理論上即便是完整補丁的Windows電腦還是可能被感染。
專家建議暫時關閉WMIC功能。
病毒影響
烏克蘭在此次攻擊事件中受到的影響最大,包括首都基輔的鮑里斯波爾國際機場(Boryspil International Airport)、烏克蘭國家儲蓄銀行(Oschadbank)、船舶公司(AP Moller-Maersk)和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。
烏克蘭最大的國有貸款機構之一 ——國家儲蓄銀行(Oschadbank)稱,部分銀行服務受到“黑客攻擊”影響,全國3650個網點和2850臺ATM受到影響,民眾無法取錢,但客戶數據目前尚且安全。
烏克蘭東北部哈爾科夫的一家超市
烏克蘭副總理Rozenko Pavlo在Twitter發布的政府電腦被感染的圖片(亮點好像很多)
除此之外,俄羅斯國有的石油公司Rosneft也遭受了打擊。其他受影響的國家包括英國、印度、荷蘭、西班牙、丹麥等。
鹿特丹港口
印度某公司
基于Petya更強大的傳播特性,病毒可能會繼續傳播到其他國家。
卡巴斯基的感染量統計
防范方法
感染前
首先,要養成安裝更新的習慣,Petya傳播中用到的兩個途徑是已經有補丁的。而且養成安裝更新的習慣對任何病毒都有效。
其次,來自Cybereason的安全研究人員Amit Serper找到了阻止Petya持續感染計算機的方法——Petya會首先搜索某個本地文件,如果說該文件存在,則退出加密過程。研究人員發現了一種免疫方法:
只需要在 C:\Windows 文件夾下建立名為 perfc 的文件,并將其設為“只讀”即可。
這種機制其實更像是“疫苗”,而非WannaCry的“Kill Switch”開關,因為每個用戶都需要自己去建立該文件,而不像WannaCry的Kill Switch那樣是統一一個“開關”。如果你很懶,那么可以直接執行下載這個批處理文件(來源:BleepingComputer)
感染后
假如你不幸感染了,首先需要注意的一點是,交贖金是沒有用的,因為黑客所使用的郵箱供應商關閉了他的郵箱,導致受害者將無法恢復加密文件:
Petya勒索程序作者所用的郵箱供應商Posteo宣布,關閉這位攻擊者的郵箱賬戶wowsmith123456@posteo.net。這對于Petya勒索軟件的受害者而言就是個災難,因為此后他們將無法給Petya作者發郵件,也就無法恢復被加密的文件。郵箱地址是Petya勒索信息顯示的唯一聯系方式,是勒索程序作者確認比特幣支付的手段。而Posteo郵箱供應商則表示自己只是在遵循一般處理流程,所以在發現該郵箱成為勒索程序的一部分之后就關閉了該郵箱,但Posteo表示當前正在聯系聯邦信息技術安全局,“確認進行了合理響應”。
其次,在去年針對Petya病毒的分析報告中已經提到:
如果你是在第一階段檢測到Petya,那么你的數據還是可恢復的。
所謂的第一階段就是指出現所謂“磁盤掃描”界面之前。因為我們說過,出現磁盤檢查界面時,病毒實際上在進行加密操作,在此之前只是破壞MBR,使得用戶無法進入系統。推特上也有專家證實了這樣的防范措施:
如果沒有完成這個CHKDSK過程,你的文件仍然可以通過LiveCD恢復
值得注意的是,Petya使用了AES-128和RSA-2048雙重加密的機制,一旦加密過程完成,恢復文件的希望也就微乎其微了。
IOC
郵箱地址
wowsmith123456@posteo.net
Bitcoin錢包地址:
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
加密目標文件類型:
.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx
.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.
pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip.
勒索信息文件名:
README.TXT
不加密以下目錄:
C:\Windows;
| 
