2017年6月28日, 在“永恆之藍”勒索病毒陰霾還未完全消散時, 一個名為“Petya(中文音譯彼佳)”的最新勒索病毒再度肆虐全球。 目前, 包括烏克蘭首都國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。 目前影響的國家有UK、Ukraine、India、Netherlands、Spain、Denmark等。 據瑞星反病毒監測網監測, 目前在中國國內也出現使用者遭到攻擊的情況。
根據瑞星威脅情報資料平臺顯示, Petya勒索病毒目前在北京、上海、甘肅、江蘇等地均有少量感染。 目前已有40人交付贖金。
圖:勒索病毒位址及交付贖金人數
據瑞星安全專家通過對本次事件分析發現, Petya勒索病毒釆用(CVE-2017-0199) RTF漏洞進行釣魚攻擊, 通過EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞橫向傳播, 使用者一旦感染, 病毒會修改系統的MBR引導磁區, 當電腦重啟時, 病毒代碼會在Windows作業系統之前接管電腦,
目前, 瑞星所有企業級產品與個人級產品均可對該病毒進行攔截並查殺, 希望廣大瑞星使用者將瑞星產品更新到最新版。
Virustotal網站掃描Petya勒索病毒 瑞星等殺毒軟體成功查殺截圖
瑞星防護建議
1、更新作業系統補丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
2、更新 Microsoft Office/WordPad 遠端執行代碼漏洞(CVE-2017-0199)補丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
3、禁用 WMI 服務
https://zhidao.baidu.com/question/91063891.html
4、安裝殺毒軟體, 並開啟主動防禦。
5、不要點擊陌生郵件的附件。
病毒詳細分析
一、背景介紹
新勒索病毒petya襲擊多國, 通過EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞傳播。 與WannaCry相比, 該病毒會加密NTFS分區、覆蓋MBR、阻止機器正常啟動, 使電腦無法使用, 影響更加嚴重。
加密時會偽裝磁片修復:
圖:加密時偽裝
加密後會顯示如下勒索介面:
圖:勒索資訊
一、詳細分析
攻擊流程:
圖:攻擊流程
加密方式:
圖:加密磁片
啟動後就會執行加密
圖:重啟機器
加密的檔案類型
圖:加密檔案類型
傳播方式:
病毒採用多種感染方式,主要通過郵件投毒的方式進行定向攻擊,利用EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞在內網橫向滲透。
圖:漏洞利用
圖:局域網傳播
勒索資訊:
作者郵箱和比特幣錢包地址
圖:作者郵箱和錢包地址
加密後的勒索信
圖:勒索信
通過查看作者比特幣錢包交易記錄,發現已經有受害者向作者支付比特幣
圖:比特幣錢包
圖:攻擊流程
加密方式:
圖:加密磁片
啟動後就會執行加密
圖:重啟機器
加密的檔案類型
圖:加密檔案類型
傳播方式:
病毒採用多種感染方式,主要通過郵件投毒的方式進行定向攻擊,利用EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞在內網橫向滲透。
圖:漏洞利用
圖:局域網傳播
勒索資訊:
作者郵箱和比特幣錢包地址
圖:作者郵箱和錢包地址
加密後的勒索信
圖:勒索信
通過查看作者比特幣錢包交易記錄,發現已經有受害者向作者支付比特幣
圖:比特幣錢包