全新勒索病毒Petya是什麼 Petya勒索病毒怎麼預防專殺補丁

WannaCry剛走，Petya就來了(也能傳播更誇張)，這個病毒目前正在全球爆發，其中烏克蘭、俄羅斯受害最嚴重。全新勒索病毒Petya是什麼?Petya勒索病毒怎麼預防?下面遛天津準備告訴大家Petya勒索病毒預防方法。

全新勒索病毒Petya是什麼

有技術大拿對Petya分析后發現，這個全新的勒索病毒依然是使用了「永恆之藍」(EternalBlue)漏洞，這也是它能像WannaCry一樣快速傳播的主因。

此外，需要注意的是，Petya病毒會修改系統的MBR引導扇區，當重啟時，病毒代碼會在Windows之前接管電腦，執行加密等惡意操作。

相比WannaCry來說，這次Petya勒索病毒做的更狠，不聯網區域網中也能傳播，當然黑客這麼做也是想要勒索到更多的錢財，但是讓他們崩潰的是，到目前位置其只收到29筆贖金，價值7497美元(約合5.1萬元)。

考慮到勒索病毒波及的廣度，Petya黑客恐怕要氣的吐血了。

對於這樣的勒索，專家警告即使你付了贖金，可能也拿不回被鎖的文檔，畢竟發動攻擊的可不是什麼好人。同時，這些資金可能還會資助黑客發動下一輪攻擊。

最搞笑的是，有支付勒索費用的用戶吐槽，Petya的贖金支付系統做的實在是太爛了。

實際上，Petya 勒索軟體在 2016 年 3 月份已經出現，與其它常見的勒索軟體不同，除了加密文件外，它還加密系統的主引導記錄。這一「雙管齊下」致使磁碟無法被訪問，而且大多數用戶都無法恢復任何內容。

昨天發現的這一新變種還採用了一個多月之前爆發的 WannaCry 的傳播機制，從而進一步加大了其破壞力。Petya 以一個只有一個未命名導出的 Windows DLL 的形式出現，並使用同樣的「永恆之藍」漏洞利用技術來試圖感染遠程機器，如下圖所示。我們可以看到在發動漏洞利用攻擊之前的典型操作，和 WannaCry 類似。

一旦這一漏洞利用攻擊，惡意軟體將會自我複製到遠程機器的 C:/Windows 目錄下，然後使用 rundll32.exe 自我啟動。這一進程是在被永恆之藍漏洞利用包注入的 Windows 進程 lsass.exe 下執行。

由於之前 WannaCry 的大規模爆發使得許多公司部署了最新的 Windows 補丁，因此，Petya 引用了一些新的傳播機制來使攻擊的成功率更高。其中一個方法是是試圖將自己和一個 psexec.exe 的副本複製到遠程機器的 ADMIN$ 文件夾。如果成功，那麼 Petya 就能藉助一個遠程調用將 psexec.exe 作為一項服務啟動，如下圖所示：

上圖顯示了正在將該 DLL 複製到遠程主機。下圖則顯示了正在複製 psexec，且正在試圖使用 svcctl 遠程過程調用來啟動 psexec。

兩個文件都複製到 C:/Windows 文件夾。

Petya 新變種所使用的另一個方法是藉助盜取的用戶憑據，使用 Windows 管理規範行 (WMIC) 在遠程機器上直接執行該樣本。Petya 所使用的命令類似下面的命令行：

●exe %s /node:」%ws」 /user:」%ws」 /password:」%ws」 process call create 「C:/Windows/System32/rundll32.exe /」C:/Windows/%s/」 #1

「%ws」 代表一個寬字元串變數，根據當前的機器及被利用的用戶憑據來生成。

一旦該惡意軟體在機器上運行，它將會把 psexec.exe 投放到本地系統，成為 c:/windows/dllhost.dat，並將另一個 .EXE(根據操作系統不同，分別為 32 位或 64 位版本)加入到 %TEMP% 文件夾。這一二進位文件是某個密碼恢復工具的修改版本，類似於 Mimikatz 或 LSADump。

上述代碼顯示了在密碼提取過程中使用的 LSA 。

此 .EXE 以一個 PIPE 名稱作為參數，類似於下面的內容：

●//./pipe/{df458642-df8b-4131-b02d-32064a2f4c19}

這一 PIPE 被 Petya 用來接收竊取的密碼，這些密碼將被用於上面提到的 WMIC。

所有這些文件都以壓縮格式存在主 DLL 的資源部分，如下圖所示：

隨後，Petya 新變種將加密本地文件及 MBR，並安裝一個計劃任務在使用 schtasks.exe 一小時后重新啟動機器。如下圖所示：

Petya 新變種所使用的加密技術是帶有 RSA 的 AES-128。這一點與之前的變種不同，它們使用的是 SALSA20。用於加密文件加密密鑰的RSA公鑰是硬編碼的，如下圖所示：

該惡意軟體還試圖通過清除事件日誌來隱藏其蹤跡，執行的命令如下：

●wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

在機器重啟后，一個隨機的信息將會出現在屏幕上，索取價值 300 美元的比特幣：

截止到目前，此帳戶只收到少數交易，但可以預見，隨著更多的人發現自己被攻擊后，將會有越來越多的交易：

Petya勒索病毒怎麼預防

用戶需要注意的是，Petya也會襲擊的。騰訊電腦管家溯源追蹤發現，Petya對區最早攻擊發生在2017年6月27號早上，同樣通過郵箱附件傳播。

據騰訊安全反病毒實驗室研究發現，該病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在135、139、445等埠使用SMB協議進行連接。同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows操作系統之前接管電腦，執行加密等惡意操作。電腦重啟后，會顯示一個偽裝的界面，假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。加密完成後，病毒才露出真正的嘴臉，要求受害者支付贖金。

目前，騰訊電腦管家已可全面防禦Petya勒索病毒，安裝電腦管家的用戶只需升級或下載最新版騰訊電腦管家即可抵禦Petya等勒索病毒的侵襲。如果沒有安裝電腦管家，安全專家表示也可以按照以下指南安防禦新病毒：

一是下載「勒索病毒離線版免疫工具」。在另一台無重要文檔的電腦上下載騰訊電腦管家的「勒索病毒離線版免疫工具」(以下簡稱「免疫工具」，並將免疫工具拷貝至安全的U盤或移動硬碟。如果出現系統不支持免疫工具的情況，用戶可到微軟官網下載補丁包。

二是斷網備份重要文檔。如果電腦插了網線，則先拔掉網線;如果電腦通過連接wifi，則先關閉路由器。隨後再將電腦中的重要文檔拷貝或移動至安全的硬碟或U盤。

三是運行免疫工具，修復漏洞。首先拷貝U盤或移動硬碟里的免疫工具到電腦。待漏洞修復完成後，重啟電腦，就可以正常上網了。

四是開啟實時防護和文檔守護者工具，預防變種攻擊。

此外，針對管理員用戶，安全專家建議如下：

一是禁止接入層交換機PC網段之間135、139、445三個埠訪問。

二是要求所有員工按照上述1-4步修復漏洞。

三是使用「管理員助手」(下載地址：https://pm.myapp.com/s/ms_scan.zip)確認員工電腦漏洞是否修復。相關命令行為MS_17_010_Scan.exe 192.168.164.128。

新勒索病毒導致8000張超速罰單被迫撤銷

WannaCry勒索病毒的爆發讓全球的電腦用戶都惶恐不安，但是在加拿大卻讓那些超速駕駛者高興了。

據悉，加拿大維多利亞州警方日前宣布該州全部超速交通罰單將被撤銷，因為交通測速相機在6月6日起被發現感染了勒索病毒。該病毒會導致相機不斷重啟，測速雷達的數據有可能會產生偏差。

警方表示，目前有1643張罰單要被撤回，還有5500多張尚未開出的罰單將被禁止，他們需要確認當時的交通信號燈和測速相機是正常工作的。

據報道，該州的交通測速相機並沒有聯網，但是一名維修人員卻將一個被感染了病毒的U盤接上了相機，最終導致有280台相機被感染。

到目前為止，該州仍然不會開出新的罰單，直到警方確定測速相機正常工作才能恢復常態。