主页 > imtoken钱包app下载链接 > Petya勒索软件分析报告
Petya勒索软件分析报告
Petya勒索软件分析报告
2017-06-29
据报道,此轮病毒的攻击性堪比5月份席卷全球的勒索病毒。 与WannaCry相比,该病毒加密NTFS分区,覆盖MBR,使机器无法正常启动,使电脑无法使用。 影响比较严重。 1. 背景介绍
新型勒索病毒petya已攻击多个国家,包括英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等,包括乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、航运公司、俄罗斯石油和天然气巨头俄罗斯石油公司、丹麦航运巨头马士基、美国制药公司默克、美国律师事务所 DLA Piper某比特币勒索病毒分析,甚至核电站都遭到了攻击。
据报道,此轮病毒的攻击性堪比5月份席卷全球的勒索病毒。 与WannaCry相比,该病毒加密NTFS分区,覆盖MBR,使机器无法正常启动,使电脑无法使用。 影响更为严重。 中毒后会显示如下界面:
磁盘修复在加密时被伪装:
图-加密时的伪装
加密后会显示如下勒索界面:
图-勒索软件
2.详细分析
攻击过程:
图-攻击过程
加密:
病毒会写入磁盘的MBR主引导记录,重启后病毒代码运行,无法进入操作系统。
图-打开磁盘
开始写MBR
图-写入MBR
它不会立即重新启动。 通过设置定时任务,等待一定时间再重启。 加密将在重新启动后执行。
图-设置定时任务,延时后重启机器
重启后执行MBR代码加密MFT并显示勒索信息
图-MBR中的代码
在设置计划任务和重新启动计算机之间的这段时间里,病毒会对机器指定格式的文件进行加密。 并利用漏洞和远程WMI方式攻击局域网内的其他机器。
加密文件的过程如下:
设置RSA公钥并启动加密线程
图-RSA公钥
在加密线程中执行加密文件操作
调用加密函数对文件进行加密; 调用write ransom letter函数写入赎金信息
图-加密线程
加密功能,遍历磁盘加密指定类型的文件
图-加密文件操作
加密后的文件类型如下
图-加密文件类型
将勒索信息和作者RSA公钥加密后的AES私钥写入README.TXT。 受害者看到勒索信息后,应将AES私钥和比特币支付记录发送到作者邮箱。 作者用RSA私钥对其进行解密,并将解密后的AES私钥发送到受害者邮箱。 输入 AES 私钥进行解密。
图-写入勒索信息
加解密过程如图所示:
图-加密过程
图-解密过程
传播方式:
该病毒采用多种感染方式,主要通过邮件投毒进行针对性攻击,利用永恒之蓝(Eternal Blue)和永恒浪漫(Eternal Romance)的漏洞向内网横向渗透。
图-剥削
使用远程共享传播
图 - LAN 传播
使用WMIC在被攻击的远程机器上运行复制的病毒
图-使用WMIC在被攻击机器中启动病毒
WMIC使用的账号密码user和password是通过发布的Windows密码提取软件获取的。
病毒主模块从资源中找到并释放密码提取软件某比特币勒索病毒分析,通过管道与密码提取软件通信,密码提取软件将提取的密码通过管道发送给病毒主模块。 病毒主模块再利用WMIC攻击局域网内的机器,让被攻击的机器运行复制的病毒。
根据系统是32位还是64位,从资源中发布不同版本的密码提取软件
图-查找资源
释放并运行资源中的密码提取软件,然后创建一个线程使用管道与密码提取程序通信。
图-释放密码提取器,创建管道通信线程
通过分析可以看出,病毒需要创建perfc文件。 如果这个文件已经存在,退出
可以使用此方法在Windows目录下制作免疫病毒
图-检查是否存在
赎金信息:
作者电子邮件地址和比特币钱包地址
图-作者邮箱和钱包地址
赎金信,要求受害者向作者的比特币钱包支付价值300美元的比特币
图-赎金信
通过查看作者的比特币钱包交易记录,发现受害人已经向作者支付了比特币。 德国邮箱提供商Posteo.net获悉病毒作者将其公司提供的邮箱作为勒索邮件,随后冻结了病毒作者的邮箱,使病毒作者无法使用该邮箱。 所以即使你支付了比特币,也不可能联系到作者并得到解密密钥。
图-比特币钱包
三、防御措施
1.更新系统补丁MS17-010
此安全更新解决了 Microsoft Windows 中的多个漏洞。 如果攻击者向 Windows SMBv1 服务器发送经特殊设计的消息,则最严重的漏洞可能允许远程执行代码。
2.安装杀毒软件
3.关闭admin$共享,防止局域网传输
运行 cmd 并输入 net share admin$ /delete
或者使用windows键+R打开运行输入命令
4.在windows目录下创建perfc,并将文件属性设置为只读,可以免疫该病毒
4. IOC 威胁指标
MD5:
邮箱:wowsmith123456@posteo.net
比特币钱包:1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
