2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致多个国家的大型企业受到Petya勒索软件攻击的影响
图1. 企业受到攻击数量最多的国家(Top 20)
与WannaCry勒索病毒类似,Petya同样利用“永恒之蓝”漏洞进行传播。但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装“永恒之蓝”补丁,Petya依然能够在企业内部进行传播。
初始感染方式
赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了MEDoc。MeDoc是一种税务和会计软件包,该工具在乌克兰被广泛使用,这也表明,乌克兰企业是攻击者此次攻击的主要目标。
在获得最初的立足点后,Petya便开始利用不同方式在整个企业网络中进行传播。
传播和横向传播
Petya是一种蠕虫病毒,该病毒能够通过建立目标计算机列表,并使用两种方法在计算机中实现自传播。
IP地址和认证信息收集
Petya通过建立包含本地局域网(LAN)中的主要地址与远程IP在内的IP地址列表来进行传播。完整列表包括以下内容:
一旦确定目标计算机列表,Petya将列出一份用户名和密码列表,并通过该列表向目标计算机进行传播。用户名和密码列表会保存在内存中。Petya收集认证信息有两种方式:
横向传播
Petya实现网络传播的主要方式有两种:
初始感染和安装
Petya起初会通过rundll32.exe加以执行,并使用以下指令:
一旦动态链接库(DLL)开始加载,该程序会首先尝试将自己从受感染系统中移除。在最后将文件从磁盘中删除之前,它会打开此文件并用空字符覆盖文件内容,目的是阻止用户通过取证技术来恢复文件。
随后,该程序将试图创建以下文件,用于标记已受感染的计算机:
MBR感染和加密
Petya在安装完成后,会修改主引导记录(MBR),使该病毒能够在系统重启时,劫持受感染计算机的正常加载过程。受到修改后的MBR可用来加密硬盘,并同时模拟磁盘检查(CHKDSK)界面,该界面随后将向用户显示勒索信息。
如果此病毒由普通用户执行,则MBR修改将不会成功,但该病毒依然会试图通过网络进行传播。
此时,系统将使用以下命令准备重启:
由于是准备重启而不是强制重启,因此在用户模式加密开始之前,Petya有足够的时间向网络中的其他计算机传播。
文件加密
Petya有2种加密文件的方式
用户模式加密
Petya一旦实现传播,便会列出固定磁盘(如 C:\)上的所有文件,并跳过该磁盘中的%Windir%目录,检查以下所有文件扩展名:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc.docx.dwg.eml.fdb.gz.h.hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
每个磁盘将生成一个128位的AES密钥。如果搜到与上述列表相匹配的文件扩展名,则该恶意软件将使用生成的密钥对文件的最初1MB内容进行加密。
在对所有符合条件的文件加密后,该恶意软件将生成勒索信息,并将该信息写入当前磁盘的 “README.TXT”文件中。
随后,生成的AES密钥将通过嵌入的公开密钥进行自我加密。
最终加密的二进制大对象(blob)会作为Base64编码串附于勒索信息(README.TXT)的最后。勒索信息将此作为“安装密钥”。
生成的密钥之后会遭到销毁,以确保其无法通过内存恢复。
此时,系统将重新启动,而经过修改的MBR代码将加载模拟CHKDSK界面,并开始全盘加密。
常见问题解答
企业能否抵御Petya勒索软件攻击?
Symantec Endpoint Protection(SEP)解决方案和诺顿产品能够主动帮助用户抵御Petya勒索软件利用 “永恒之蓝” 漏洞进行传播。此外,赛门铁克SONAR行为检测技术同样能够主动防御Petya感染
使用定义版本20170627.009的赛门铁克产品同样能够检测出Petya组件Ransom.Petya。
Petya是什么?
2016年,Petya病毒便已出现。与典型的勒索软件不同,Petya不只会加密文件,还会对主引导记录(MBR)进行覆盖和加密。
在此次攻击事件中,受感染计算机显示了以下勒索信息,要求受害者以比特币形式支付300美元以恢复文件:
图2.受Petya勒索软件感染的计算机所显示的勒索信息,攻击者向受害者索要价值300美元的比特币以赎回加密文件
Petya的传播和感染方式?
MEDoc会计软件用以在企业网络中投放和安装Petya勒索软件。在进入企业网络后,该勒索软件会使用两种方式进行传播。
其中一种传播方式:Petya会利用MS17-010漏洞(也称为“永恒之蓝”)实现传播。此外,Petya还会通过获取用户名和密码,在网络共享文件中进行传播。
影响范围?
受到Petya影响最大的是位于欧洲的企业与机构。
针对性攻击?
目前尚不清楚此次攻击是否为针对性攻击,但该病毒的最初传播所使用的软件只有在乌克兰才能使用,这表明乌克兰的企业是网络攻击者的最初目标。
支付赎金?
赛门铁克建议用户切勿支付赎金。目前没有证据表明,加密文件能够在支付赎金后得以恢复。
赛门铁克安全保护
网络保护
为了保护用户免受上述攻击,赛门铁克采取了以下IPS保护,以帮助用户抵御攻击:
反病毒
SONAR行为检测技术
Skeptic技术
获取更多详细信息,请查看:https://email.status.symantec.com/
赛门铁克正在密切关注此次威胁,并对其进行分析,我们将及时发布更多相关信息。
好文章,需要你的鼓励
存储行业发展有个趋势,那就是呈现波浪式发展,每隔3、4年会有一个波峰波谷,业界称之为奥运式复苏周期。在经历了过去两年下滑趋势,2024存储迎来了春天!
品牌竞争和核心是对消费者注意力的竞争,是占领消费者心智的竞争。零售品牌更加关注这种竞争。零售商们更将购物视频看做打开消费者钱包大门的利器。
SAP新任首席人工智能官Philipp Herzig在一次访谈中提出了SAP公司的AI战略,战略重点是将人工智能功能融入SAP业务应用程序,让客户能够更容易地使用人工智能。