全新勒索病毒Petya是什么

全新勒索病毒Petya是什么

　　WannaCry刚走，Petya就来了(局域网也能传播更夸张)，这个病毒目前正在全球爆发，其中乌克兰、俄罗斯受害最严重。全新勒索病毒Petya是什么?Petya勒索病毒怎么预防?下面学习啦准备告诉大家Petya勒索病毒预防方法。

　　全新勒索病毒Petya是什么

　　有技术大拿对Petya分析后发现，这个全新的勒索病毒依然是使用了“永恒之蓝”(EternalBlue)漏洞，这也是它能像WannaCry一样快速传播的主因。

　　此外，需要注意的是，Petya病毒会修改系统的MBR引导扇区，当电脑重启时，病毒代码会在Windows操作系统之前接管电脑，执行加密等恶意操作。

　　相比WannaCry来说，这次Petya勒索病毒做的更狠，不联网局域网中也能传播，当然黑客这么做也是想要勒索到更多的钱财，但是让他们崩溃的是，到目前位置其只收到29笔赎金，价值7497美元(约合5.1万元)。

　　考虑到勒索病毒波及的广度，Petya黑客恐怕要气的吐血了。

　　对于这样的勒索，专家警告即使你付了赎金，可能也拿不回被锁的文档，毕竟发动攻击的可不是什么好人。同时，这些资金可能还会资助黑客发动下一轮攻击。

　　最搞笑的是，有支付勒索费用的用户吐槽，Petya的赎金支付系统做的实在是太烂了。

　　实际上，Petya 勒索软件在 2016 年 3 月份已经出现，与其它常见的勒索软件不同，除了加密文件外，它还加密系统的主引导记录。这一“双管齐下”致使磁盘无法被访问，而且大多数用户都无法恢复任何内容。

　　昨天发现的这一新变种还采用了一个多月之前爆发的 WannaCry 的传播机制，从而进一步加大了其破坏力。Petya 以一个只有一个未命名导出的 Windows DLL 的形式出现，并使用同样的“永恒之蓝”漏洞利用技术来试图感染远程机器，如下图所示。我们可以看到在发动漏洞利用攻击之前的典型操作，和 WannaCry 类似。

　　一旦这一漏洞利用攻击成功，恶意软件将会自我复制到远程机器的 C:\Windows 目录下，然后使用 rundll32.exe 自我启动。这一进程是在被永恒之蓝漏洞利用包注入的 Windows 进程 lsass.exe 下执行。

　　由于之前 WannaCry 的大规模爆发使得许多公司部署了最新的 Windows 补丁，因此，Petya 引用了一些新的传播机制来使攻击的成功率更高。其中一个方法是是试图将自己和一个 psexec.exe 的副本复制到远程机器的 ADMIN$ 文件夹。如果成功，那么 Petya 就能借助一个远程调用将 psexec.exe 作为一项服务启动，如下图所示：

　　上图显示了正在将该 DLL 复制到远程主机。下图则显示了正在复制 psexec，且正在试图使用 svcctl 远程过程调用来启动 psexec。

　　两个文件都复制到 C:\Windows 文件夹。

　　Petya 新变种所使用的另一个方法是借助盗取的用户凭据，使用 Windows 管理规范命令行 (WMIC) 在远程机器上直接执行该样本。Petya 所使用的命令类似下面的命令行：

　　●exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\%s\” #1

　　“%ws” 代表一个宽字符串变量，根据当前的机器及被利用的用户凭据来生成。

　　一旦该恶意软件在机器上运行，它将会把 psexec.exe 投放到本地系统，成为 c:\windows\dllhost.dat，并将另一个 .EXE(根据操作系统不同，分别为 32 位或 64 位版本)加入到 %TEMP% 文件夹。这一二进制文件是某个密码恢复工具的修改版本，类似于 Mimikatz 或 LSADump。

　　上述代码显示了在密码提取过程中使用的 LSA 函数。

　　此 .EXE 以一个 PIPE 名称作为参数，类似于下面的内容：

　　●\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}

　　这一 PIPE 被 Petya 用来接收窃取的密码，这些密码将被用于上面提到的 WMIC。

　　所有这些文件都以压缩格式存在主 DLL 的资源部分，如下图所示：

　　随后，Petya 新变种将加密本地文件及 MBR，并安装一个计划任务在使用 schtasks.exe 一小时后重新启动机器。如下图所示：

　　Petya 新变种所使用的加密技术是带有 RSA 的 AES-128。这一点与之前的变种不同，它们使用的是 SALSA20。用于加密文件加密密钥的RSA公钥是硬编码的，如下图所示：

　　该恶意软件还试图通过清除事件日志来隐藏其踪迹，执行的命令如下：

　　●wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

　　在机器重启后，一个随机的信息将会出现在屏幕上，索取价值 300 美元的比特币：

　　截止到目前，此帐户只收到少数交易，但可以预见，随着更多的人发现自己被攻击后，将会有越来越多的交易：