6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。Petya勒索病毒是一种新型病毒,主要采用邮件钓鱼、蠕虫等组合进行传播。在传播过程中主要涉及Windows两个重要漏洞。俄罗斯、乌克兰两国约有80多家公司被Petya病毒感染。该病毒锁住大量的电脑,要求用户支付300美元的加密数字货币才能解锁。甚至,乌克兰的ATM机也被拖下了水。
根据瑞星威胁情报数据平台显示,Petya勒索病毒目前在北京、上海、甘肃、江苏等地均有少量感染。目前已有36人交付赎金。
图:勒索病毒地址及交付赎金人数
据瑞星安全专家通过对本次事件分析发现,Petya勒索病毒釆用(CVE-2017-0199) RTF漏洞进行钓鱼攻击,通过EternalBlue(永恒之蓝)和EternalRomance(永恒浪漫)漏洞横向传播,用户一旦感染,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
目前,瑞星所有企业级产品与个人级产品均可对该病毒进行拦截并查杀,希望广大瑞星用户将瑞星产品更新到最新版。
Virustotal网站扫描Petya勒索病毒 瑞星等杀毒软件成功查杀截图
瑞星防护建议
1、更新操作系统补丁(MS)
2、更新 Microsoft Office/WordPad 远程执行代码漏洞(CVE-2017-0199)补丁
3、禁用 WMI 服务
4、安装杀毒软件,并开启主动防御。
5、不要点击陌生邮件的附件。
病毒详细分析
一、背景介绍
新勒索病毒petya袭击多国,通过EternalBlue(永恒之蓝)和EternalRomance(永恒浪漫)漏洞传播。与WannaCry相比,该病毒会加密NTFS分区、覆盖MBR、阻止机器正常启动,使计算机无法使用,影响更加严重。
加密时会伪装磁盘修复:
图:加密时伪装
加密后会显示如下勒索界面:
图:勒索信息
二、详细分析
攻击流程:
图:攻击流程
加密方式:
图:加密磁盘
启动后就会执行加密
图:重启机器
加密的文件类型
图:加密文件类型
传播方式:
病毒采用多种感染方式,主要通过邮件投毒的方式进行定向攻击,利用EternalBlue(永恒之蓝)和EternalRomance(永恒浪漫)漏洞在内网横向渗透。
图:漏洞利用
图:局域网传播
勒索信息:
作者邮箱和比特币钱包地址
图:作者邮箱和钱包地址
加密后的勒索信
图:勒索信
通过查看作者比特币钱包交易记录,发现已经有受害者向作者支付比特币
图:比特币钱包
头条号入驻
4000520066 欢迎批评指正
All Rights Reserved 新浪公司 版权所有
