吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11038|回复: 38
收起左侧

[转载] Petya勒索软件新变种详细分析报告

  [复制链接]
abc-kevin 发表于 2017-6-28 12:25
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
Petya新变种简介
据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。

当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。

传播渠道分析可能传播渠道-邮箱传播
根据乌克兰CERT官方消息,邮件附件被认为该次病毒攻击的传播源头,邮箱附件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中,并没有完整重现整个攻击过程。

可能传播渠道-MeDoc
很多安全研究机构认为,这次Petya的攻击源是由于MeDoc软件的更新服务被劫持导致。

详细功能分析感染过程分析
1,写MBR
0~0x21扇区保存的是病毒的MBR和微内核代码数据,而原始的MBR被加密保存在第0x22扇区。

2,加密文件
1)遍历分区

2)要加密的文件类型

3)文件加密过程

3、传播方式
1)可能通过管理共享在局域网内传播,而后通过wmic来实现远程命令执行。
C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1 60 "RCAD\ryngarus.ext:FimMe21Pass!roy4""RCAD\svcomactions:3GfmGeif"

c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" \"c:\windows\perfc.dat\" #1

2)通过EternalBlue和EternalRomance漏洞传播。

程序发动攻击前,先尝试获取到可攻击的IP地址列表:
依次获取:已建立TCP连接的IP、本地ARP缓存的IP以及局域网内存在的服务器IP地址。收集完这些地址后,便进行进一步攻击。

磁盘加密和勒索细节
主要功能描述:
1、系统重启,恶意MBR加载;
2检测磁盘是否被加密如果没有则显示伪造的检测磁盘界面、并加密MFT
3、显示红色的勒索界面,让用户输入秘钥

细节分析:
MBR启动后,将1-21扇区数据复制到8000地址然后Jmp执行8000地址代码

通过读取标记位判断磁盘已经被加密

若磁盘没有加密显示伪造的检测磁盘界面,并加密MFT

加密完成后读取扇区后面的勒索语句

获取到的语句显示屏幕

屏幕获取秘钥并验证

安全建议
1, 及时下载安装腾讯电脑管家,并使用勒索病毒免疫工具,防患于未然。(免疫工具下载地址http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/PetyaFix_2_0_766_127.exe
2, 及时使用电脑管家将补丁打全。
3, 遇到可疑文件,特别是陌生邮件中的附件,不要轻易打开,首先使用电脑管家进行扫描,或上传至哈勃分析系统(https://habo.qq.com/)对文件进行安全性检测。

参考资料
1, http://www.freebuf.com/articles/system/138567.html
2, https://securelist.com/schroedingers-petya/78870/
3, https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html
4, https://www.fireeye.com/blog/threat-research/2017/06/petya-ransomware-spreading-via-eternalblue-exploit.html
5, http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/
6, https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

免费评分

参与人数 13吾爱币 +13 热心值 +13 收起 理由
liuchang2017 + 1 + 1 谢谢@Thanks!
MagicnoBob + 1 + 1 谢谢@Thanks!
qwert_he + 1 + 1 谢谢@Thanks!
darkpoet + 1 + 1 谢谢@Thanks!
chenjingyes + 1 + 1 热心回复!
Alog + 1 + 1 热心回复!
Rea + 1 + 1 我公司gg了、。。
w4526423 + 1 + 1 已答复!
ayoma + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
笨鸟不一定先飞 + 1 + 1 腾讯的大佬还真是不简单
汇成千古的守望 + 1 + 1 热心回复!
crz2008 + 1 + 1 我很赞同!
痴语 + 1 + 1 不明觉厉

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

伤or悲 发表于 2017-6-28 12:38
这样搞,要搞出大事情
坏才不遇 发表于 2017-6-28 12:42
刺激!一波接着一波,比特币又要涨价!!!!!!!!!!!
你锋子哥 发表于 2017-6-28 13:26
azusys 发表于 2017-6-28 13:30
这个···防住mbr应该就能防住吧?
那么现在国内的杀软基本都能防的住?
孤者与海 发表于 2017-6-28 13:33
某管家看到过帖子
A丶小絮 发表于 2017-6-28 13:46
请问什么软件杀毒更好呢
all4gigi 发表于 2017-6-28 14:02
如果是GPT格式的,就万无一失了?
Bigfengfeng 发表于 2017-6-28 14:03
火绒,管家都出来蹭热点了,360呢?
wtuaixk 发表于 2017-6-28 14:03
真想要骂人,Petya勒索病毒,
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:28

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表