昨晚21时左右,乌克兰遭受Petya勒索程序大规模攻击。包括首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。实际上Petya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。
Petya看来大有与前不久WannaCry争辉的意思。这款病毒到底有什么特性能够让乌克兰乃至全球的众多商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击呢?
病毒概况
部分安全公司包括赛门铁克都认为,这次的勒索程序就是Petya的一个变种。不过卡巴斯基实验室的研究指出,该勒索程序不能认为是Petya的变种,它只是与Petya在字符串上有所相似,所以卡巴斯基为其取名为“ExPetr”(还有研究人员将其称为NotPetya、Petna或者SortaPetya)。卡巴斯基在其报告中表示未来还会对ExPetr进行更为深入的分析。鉴于绝大部分媒体和许多安全公司仍然将其称作Petya,本文也不对二者进行区分。
去年Petya出现时,我们就曾报道过这款勒索软件,至少从其行为模式来看与本次爆发的勒索程序还是存在很多相似之处的:
Petya释放的文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。
与传统的勒索软件不同的是,Petya并非逐个加密单个文件,而是加密磁盘的MFT,并且破坏MBR,使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。
下图就是加密完成后,Petya所显示的界面:
“当您看到这段文字的时候,你的文件已经被加密无法读取了。你可能在寻找恢复文件的方法,但是不要浪费时间了,除了我们没人能恢复。”
病毒要求感染者支付300美元的赎金解密文件。
“请按以下要求操作:
1. 发送价值300美元的比特币到以下地址:1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
2. 发送你的比特币钱包ID和个人安装密钥到wowsmith123456@posteo.net。你的个人安装密钥如下:XXXXX。”
想要了解本次Petya变种技术细节的同学可以点击这里查看腾讯的详细解读。
小编查询发现,截至6月28日发稿前,这个比特币地址一共收到36笔转账,获得3.6367比特币,约合人民币61438元。
而根据VirusTotal的扫描结果,61款杀毒软件中仍有16款没有检测出Petya。
传播方式
国外媒体报道称,受到Petya影响最大的地区是乌克兰。而来自思科Talos、ESET、卡巴斯基实验室等来源的分析,黑客首先攻击了M.E.Doc,这是一家乌克兰的会计软件厂商。随后黑客通过M.E.Doc的更新服务器将一个恶意推送推给用户。用户更新软件时,便感染了病毒——这可能是Petya传播较为广泛的一种途径,但最初的传播方式可能仍然不确定。
M.E.Doc今天早晨承认更新服务器遭到攻击,但否认传播了病毒。
注意:
我们的服务器正遭受病毒攻击。
给您带来的不便敬请谅解。
另外,我们还从其它来源了解到更多的传播方式,如Petya还釆用了RTF漏洞(CVE-2017-0199)进行钓鱼攻击,能够利用微软Office和写字板进行远程代码执行。微软在今年4月已经发布了针对这个漏洞的补丁。不过也有安全厂商认为CVE-2017-0199跟此次事件没有直接关系,也并非最初始的感染源头,如微步在线的研究:
感染源头是CVE-2017-0199漏洞吗?
根据我们捕获的样本分析,并没有发现相应依据。
目前多家安全公司报道称此次攻击是利用携带CVE-2017-0199漏洞附件的钓鱼邮件进行投放,该样本(SHA256:FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206)执行后下载myguy.xls(SHA256:EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6)文件,进一步该样本会请求域名french-cooking.com,下载新的Payload (SHA256:120d1876883d4d2ae02b4134bcb1939f270965b7055cb4bdbd17dda1d4a4baa2),经过微步在线确认,该样本为LokiBot家族,并非Petya家族(注:此样本会请求域名COFFEINOFFICE.XYZ进行进一步的恶意行为),跟此次事件没有直接关系,也并非最初始的感染源头。
但病毒的可怕之处不仅如此,还在于在感染电脑之后的进一步传播。
Petya利用了“永恒之蓝”漏洞,这个存在于Windows SMBv1协议中的漏洞帮助WannaCry病毒在72小时内感染了全球30万台电脑。同样地,微软也发布了对应补丁。
Petya的传播特性相比WannaCry有过之而无不及。除了上述的传播方式,Petya还想了一些其他的办法进行传播。
首先Petya会在已经感染的系统中寻找密码,再想办法入侵其他系统。前NSA分析员David Kennedy称,Petya会尝试在内存或者本地文件系统中提取密码。
然后,Petya会利用PsExec和WMI。PsExec原本是用来在其他系统上执行某些操作的工具,而Petya把它用来在其他电脑执行恶意代码。如果受感染的电脑拥有整个网络的管理权限,整个网络中的电脑都可能被感染。WMI也是如此。
不幸的是,上述的这两种方法并没有相应的补丁,所以理论上即便是完整补丁的Windows电脑还是可能被感染。
专家建议暂时关闭WMIC功能。
病毒影响
乌克兰在此次攻击事件中受到的影响最大,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。
乌克兰最大的国有贷款机构之一 ——国家储蓄银行(Oschadbank)称,部分银行服务受到“黑客攻击”影响,全国3650个网点和2850台ATM受到影响,民众无法取钱,但客户数据目前尚且安全。
乌克兰东北部哈尔科夫的一家超市
乌克兰副总理Rozenko Pavlo在Twitter发布的政府电脑被感染的图片(亮点好像很多)
除此之外,俄罗斯国有的石油公司Rosneft也遭受了打击。其他受影响的国家包括英国、印度、荷兰、西班牙、丹麦等。
鹿特丹港口
印度某公司
基于Petya更强大的传播特性,病毒可能会继续传播到其他国家。
卡巴斯基的感染量统计
防范方法
感染前
首先,要养成安装更新的习惯,Petya传播中用到的两个途径是已经有补丁的。而且养成安装更新的习惯对任何病毒都有效。
其次,来自Cybereason的安全研究人员Amit Serper找到了阻止Petya持续感染计算机的方法——Petya会首先搜索某个本地文件,如果说该文件存在,则退出加密过程。研究人员发现了一种免疫方法:
只需要在 C:\Windows 文件夹下建立名为 perfc 的文件,并将其设为“只读”即可。
这种机制其实更像是“疫苗”,而非WannaCry的“Kill Switch”开关,因为每个用户都需要自己去建立该文件,而不像WannaCry的Kill Switch那样是统一一个“开关”。如果你很懒,那么可以直接执行下载这个批处理文件(来源:BleepingComputer)
感染后
假如你不幸感染了,首先需要注意的一点是,交赎金是没有用的,因为黑客所使用的邮箱供应商关闭了他的邮箱,导致受害者将无法恢复加密文件:
Petya勒索程序作者所用的邮箱供应商Posteo宣布,关闭这位攻击者的邮箱账户wowsmith123456@posteo.net。这对于Petya勒索软件的受害者而言就是个灾难,因为此后他们将无法给Petya作者发邮件,也就无法恢复被加密的文件。邮箱地址是Petya勒索信息显示的唯一联系方式,是勒索程序作者确认比特币支付的手段。而Posteo邮箱供应商则表示自己只是在遵循一般处理流程,所以在发现该邮箱成为勒索程序的一部分之后就关闭了该邮箱,但Posteo表示当前正在联系联邦信息技术安全局,“确认进行了合理响应”。
其次,在去年针对Petya病毒的分析报告中已经提到:
如果你是在第一阶段检测到Petya,那么你的数据还是可恢复的。
所谓的第一阶段就是指出现所谓“磁盘扫描”界面之前。因为我们说过,出现磁盘检查界面时,病毒实际上在进行加密操作,在此之前只是破坏MBR,使得用户无法进入系统。推特上也有专家证实了这样的防范措施:
如果没有完成这个CHKDSK过程,你的文件仍然可以通过LiveCD恢复
值得注意的是,Petya使用了AES-128和RSA-2048双重加密的机制,一旦加密过程完成,恢复文件的希望也就微乎其微了。
IOC
邮箱地址
wowsmith123456@posteo.net
Bitcoin钱包地址:
1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
加密目标文件类型:
.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip.
勒索信息文件名:
README.TXT
不加密以下目录:
C:\Windows;
,