全新勒索病毒Petya是什么

全新勒索病毒Petya是什么

　　WannaCry剛走，Petya就來了(局域網也能傳播更夸張)，這個病毒目前正在全球爆發，其中烏克蘭、俄羅斯受害最嚴重。全新勒索病毒Petya是什么?Petya勒索病毒怎么預防?下面學習啦準備告訴大家Petya勒索病毒預防方法。

　　全新勒索病毒Petya是什么

　　有技術大拿對Petya分析后發現，這個全新的勒索病毒依然是使用了“永恒之藍”(EternalBlue)漏洞，這也是它能像WannaCry一樣快速傳播的主因。

　　此外，需要注意的是，Petya病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。

　　相比WannaCry來說，這次Petya勒索病毒做的更狠，不聯網局域網中也能傳播，當然黑客這么做也是想要勒索到更多的錢財，但是讓他們崩潰的是，到目前位置其只收到29筆贖金，價值7497美元(約合5.1萬元)。

　　考慮到勒索病毒波及的廣度，Petya黑客恐怕要氣的吐血了。

　　對于這樣的勒索，專家警告即使你付了贖金，可能也拿不回被鎖的文檔，畢竟發動攻擊的可不是什么好人。同時，這些資金可能還會資助黑客發動下一輪攻擊。

　　最搞笑的是，有支付勒索費用的用戶吐槽，Petya的贖金支付系統做的實在是太爛了。

　　實際上，Petya 勒索軟件在 2016 年 3 月份已經出現，與其它常見的勒索軟件不同，除了加密文件外，它還加密系統的主引導記錄。這一“雙管齊下”致使磁盤無法被訪問，而且大多數用戶都無法恢復任何內容。

　　昨天發現的這一新變種還采用了一個多月之前爆發的 WannaCry 的傳播機制，從而進一步加大了其破壞力。Petya 以一個只有一個未命名導出的 Windows DLL 的形式出現，并使用同樣的“永恒之藍”漏洞利用技術來試圖感染遠程機器，如下圖所示。我們可以看到在發動漏洞利用攻擊之前的典型操作，和 WannaCry 類似。

　　一旦這一漏洞利用攻擊成功，惡意軟件將會自我復制到遠程機器的 C:\Windows 目錄下，然后使用 rundll32.exe 自我啟動。這一進程是在被永恒之藍漏洞利用包注入的 Windows 進程 lsass.exe 下執行。

　　由于之前 WannaCry 的大規模爆發使得許多公司部署了最新的 Windows 補丁，因此，Petya 引用了一些新的傳播機制來使攻擊的成功率更高。其中一個方法是是試圖將自己和一個 psexec.exe 的副本復制到遠程機器的 ADMIN$ 文件夾。如果成功，那么 Petya 就能借助一個遠程調用將 psexec.exe 作為一項服務啟動，如下圖所示：

　　上圖顯示了正在將該 DLL 復制到遠程主機。下圖則顯示了正在復制 psexec，且正在試圖使用 svcctl 遠程過程調用來啟動 psexec。

　　兩個文件都復制到 C:\Windows 文件夾。

　　Petya 新變種所使用的另一個方法是借助盜取的用戶憑據，使用 Windows 管理規范命令行 (WMIC) 在遠程機器上直接執行該樣本。Petya 所使用的命令類似下面的命令行：

　　●exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\%s\” #1

　　“%ws” 代表一個寬字符串變量，根據當前的機器及被利用的用戶憑據來生成。

　　一旦該惡意軟件在機器上運行，它將會把 psexec.exe 投放到本地系統，成為 c:\windows\dllhost.dat，并將另一個 .EXE(根據操作系統不同，分別為 32 位或 64 位版本)加入到 %TEMP% 文件夾。這一二進制文件是某個密碼恢復工具的修改版本，類似于 Mimikatz 或 LSADump。

　　上述代碼顯示了在密碼提取過程中使用的 LSA 函數。

　　此 .EXE 以一個 PIPE 名稱作為參數，類似于下面的內容：

　　●\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}

　　這一 PIPE 被 Petya 用來接收竊取的密碼，這些密碼將被用于上面提到的 WMIC。

　　所有這些文件都以壓縮格式存在主 DLL 的資源部分，如下圖所示：

　　隨后，Petya 新變種將加密本地文件及 MBR，并安裝一個計劃任務在使用 schtasks.exe 一小時后重新啟動機器。如下圖所示：

　　Petya 新變種所使用的加密技術是帶有 RSA 的 AES-128。這一點與之前的變種不同，它們使用的是 SALSA20。用于加密文件加密密鑰的RSA公鑰是硬編碼的，如下圖所示：

　　該惡意軟件還試圖通過清除事件日志來隱藏其蹤跡，執行的命令如下：

　　●wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

　　在機器重啟后，一個隨機的信息將會出現在屏幕上，索取價值 300 美元的比特幣：

　　截止到目前，此帳戶只收到少數交易，但可以預見，隨著更多的人發現自己被攻擊后，將會有越來越多的交易：