6月27日晚间,一波大规模打单蠕虫病毒攻击重新席卷环球。
雷锋网报道,欧洲、俄罗斯等多国当局、银行、电力体系、通讯体系、企业以及机场都差别程度的受到了影响。
这是一种新型打单蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定范例文件,导致体系无法正常运行。
如今,该打单蠕虫通过Windows弊端举行传播,一台中招大概就会感染局域网内别的电脑。
一、Petya与WannaCry病毒的对比
1、加密目标文件范例
Petya加密的文件范例相比WannaCry少。
Petya加密的文件范例一共65种,WannaCry为178种,不外已经包罗了常见文件范例。
2、付出赎金
Petya必要付出300美金,WannaCry必要付出600美金。
二、打单病毒传播方式分析
Petya打单蠕虫通过Windows弊端举行传播,同时会感染局域网中的别的电脑。电脑感染Petya打单病毒后,会被加密特定范例文件,导致电脑无法正常运行。
阿里云安全专家研究发现,Petya打单病毒在内网体系中,重要通过Windows的协议举行横向移动。
重要通过Windows管理体系布局(MicrosoftWindowsManagementInstrumentation),和PSEXEC(SMB协议)举行扩散。
克制到当前,黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39个比特币(1比特币=2459美金),33笔买卖业务,阐明已经有效户付出了赎金。
三、技能和加密过程分析
操纵体系被感染后,重新启动时会造成无法进入体系。如下图表现的为病毒伪装的磁盘扫描程序。
Petya病毒对打单对象的加密,分为以下7个步调:
起首,函数sub_10001EEF是加密操纵的入口。遍历全部磁盘,对每个固定磁盘创建一个线程实行文件遍历和加密操纵,线程参数是一个布局体,包罗一个公钥和磁盘根路径。
然后,在线程函数(StartAddress)中,先获取密钥容器,
pszProvider="MicrosoftEnhancedRSAandAESCryptographicProvider"
dwProvType=PROV_RSA_AESProvider为RSA_AES。
调用sub_10001B4E,通过CryptGenKey天生AES128密钥,用于后边举行文件加密。
假如天生密钥乐成,接着调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和生存密钥的功能。
在sub_10001973函数中判定了只对特定文件后缀加密。
sub_10001D32函数功能是将密钥加密并写入磁盘根路径的README.TXT文件中,
该函数在开始时调用了sub_10001BA0获取一个程序内置的公钥
之后,调用sub_10001C7F导出AES密钥,在这个函数中用前边的公钥对它加密。
末了,在README.TXT中写了一段提示付款的笔墨,而且将加密后的密钥写入此中。
由于密钥颠末了程序中内置的公钥加密,被打单对象必须要有黑客的私钥才华解密。这也就造成了打单加密的不可逆性。
另据媒体报道:针对乌克兰等多国遭遇Petya打单病毒打击,国家互联网应急中心提出防护战略五点发起:
一是不要轻易点击不明附件,尤其是rtf、doc等格式文件。
二是内网中存在利用雷同账号、暗码环境的呆板请尽快修改暗码,未开机的电脑请确认口令修改完毕、补丁安装完成后再举行开机操纵。
三是更新操纵体系补丁(MS)https://technet.microsoft.com/en-us/library/security/ms17-010.aspx。
四是更新MicrosoftOffice/WordPad长途实行代码弊端(CVE-2017-0199)补丁https://technet.microsoft.com/zh-cn/office/mt465751.aspx。
五是禁用WMI服务https://zhidao.baidu.com/question/91063891.html
我要评论