2017年6月28日,在「永恆之藍」勒索病毒陰霾還未完全消散時,一個名為「Petya(中文音譯彼佳)」的最新勒索病毒再度肆虐全球。目前,包括烏克蘭首都國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。目前影響的國家有UK、Ukraine、India、Netherlands、Spain、Denmark等。據瑞星反病毒監測網監測,目前在國內也出現用戶遭到攻擊的情況。
根據瑞星威脅情報數據平台顯示,Petya勒索病毒目前在北京、上海、甘肅、江蘇等地均有少量感染。目前已有36人交付贖金。
圖:勒索病毒地址及交付贖金人數
據瑞星安全專家通過對本次事件分析發現,Petya勒索病毒釆用(CVE-2017-0199) RTF漏洞進行釣魚攻擊,通過EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞橫向傳播,用戶一旦感染,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒代碼會在Windows操作系統之前接管電腦,執行加密等惡意操作。當加密完成後,病毒要求受害者支付價值300美元的比特幣之後,才會回復解密密鑰。
目前,瑞星所有企業級產品與個人級產品均可對該病毒進行攔截並查殺,希望廣大瑞星用戶將瑞星產品更新到最新版。
Virustotal網站掃描Petya勒索病毒 瑞星等殺毒軟體成功查殺截圖
瑞星防護建議
1、更新操作系統補丁(MS)
(請戳鏈接)
2、更新 Microsoft Office/WordPad 遠程執行代碼漏洞(CVE-2017-0199)補丁
3、禁用 WMI 服務
4、安裝殺毒軟體,並開啟主動防禦。
5、不要點擊陌生郵件的附件。
病毒詳細分析
背景介紹
新勒索病毒petya襲擊多國,通過EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞傳播。與WannaCry相比,該病毒會加密NTFS分區、覆蓋MBR、阻止機器正常啟動,使計算機無法使用,影響更加嚴重。
加密時會偽裝磁碟修復:
加密後會顯示如下勒索界面:
圖:攻擊流程
加密方式:
圖:加密磁碟
啟動后就會執行加密
圖:重啟機器
加密的文件類型
圖:加密文件類型
傳播方式:
病毒採用多種感染方式,主要通過郵件投毒的方式進行定向攻擊,利用EternalBlue(永恆之藍)和EternalRomance(永恆浪漫)漏洞在內網橫向滲透。
圖:漏洞利用
圖:區域網傳播
勒索信息:
作者郵箱和比特幣錢包地址
圖:作者郵箱和錢包地址
加密后的勒索信
圖:勒索信
通過查看作者比特幣錢包交易記錄,發現已經有受害者向作者支付比特幣