亞信安全詳解：新Petya勒索病毒的攻與防

北京時間6月27日晚，烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多國遭遇了Petya勒索病毒變種襲擊，政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。目前也發現有用戶感染Petya勒索病毒變種，亞信安全已經截獲該病毒，並將其命名為Ransom_PETYA.TH627和Ransom_PETYA.SMA。

此次黑客使用的是Petya勒索病毒變種，該變種攻擊方式與WannaCry相同，都是利用MS17-010（」永恆之藍」）漏洞傳播，不同於傳統勒索軟體加密文件的行為，Petya勒索病毒採用磁碟加密方式，通過加密硬碟驅動器主文件表（MFT），使主引導記錄（MBR）不可操作，限制對系統的訪問。此次黑客勒索金額為300美元比特幣。

事件分析

據國外安全人員分析，Petya勒索病毒變種通過帶有DOC文檔的垃圾郵件附件進行傳播，通過Office CVE-2017-0199漏洞來觸發攻擊。亞信安全已經截獲類似攻擊郵件，但在實際測試過程中，並沒有完整重現整個攻擊過程。

【攜帶CVE-2017-0199漏洞的垃圾郵件範例】

Petya勒索病毒變種通過PsExec 工具和」永恆之藍」漏洞在內網進行傳播。PsExec工具是微軟的實用工具之一，用於在遠程系統上運行進程。黑客通常用該工具在內網進行滲透。具體感染流程如下：

• Petya勒索病毒變種通過PsExec 工具和」永恆之藍」漏洞進入系統；

• 利用rundll32.exe進程自啟動；

• 在windows文件夾中生成真正的加密程序perfc.dat（文件名可能會發生變化）；

• 修改主引導記錄(MBR)；

• 重啟后顯示勒索信息。

【Petya勒索病毒變種感染流程】

技術分析

Petya勒索軟體變種通過添加計劃任務，設置被感染計算機在一個小時內重新啟動。當系統重啟時顯示虛假的磁碟檢查界面，實際上加密程序正在對磁碟進行加密操作。

【虛假的磁碟檢查通知】

和其它勒索軟體不同的是，Petya勒索軟體變種不會修改被加密文件的後綴名。其會加密超過60種不同擴展名的文件，這些擴展名都是企業日常使用的文件類型；而相對於其他勒索病毒熱衷的圖片和視頻文件，Petya勒索病毒變種並不會對其進行加密。

除了利用」永恆之藍」漏洞外, Petya勒索病毒變種還有一些與WannaCry類似之處，如贖金支付過程相對簡單: Petya勒索病毒變種也是使用一個硬編碼的比特幣地址，與早期的Petya勒索病毒相比較，此次變種的UI界面更友好。

【提示勒索信息】

Petya勒索病毒變種要求每個受害者需要支付相當於300美元的比特幣。截至目前，大約7500美元已支付到上述比特幣地址。但是，勒索信息中提及的電子郵件地址，目前已經停止訪問，我們建議用戶不要支付贖金。

【勒索信息中提及的郵件地址已經停止訪問】

技術細節

PsExec和Windows管理信息命令行(WMIC)

Petya巧妙地使用合法的Windows進程Psexec和Windows管理信息的命令行(WMIC)，WMIC擴展WMI（Windows Management Instrumentation，Windows管理工具），提供了從命令行介面和批命令腳本執行系統管理的支持。

Petya將會在目標機器上生成dllhost.dat（該文件就是psexec.exe）文件，其會在\\{remote machine name}\admin$\{malware filename}目錄下生成自身拷貝文件。然後其使用dllhost.dat執行生成的自身拷貝文件，使用參數如下：

{enumeratedcredentials}格式如下：

如果不成功，Petya將會使用WMIC.EXE去執行遠程機器中的文件：

如果Petya變種使用Psexec或WMIC在內網傳播失敗，其會利用「永恆之藍」漏洞傳播。

信息提取方法

我們通過深入研究發現petya變種採用更高級的方法從受感染的系統中提取信息。其使用一個定製的合法安全工具mimikatz來提取用戶名和密碼。32位和64位Mimikatz可執行文件被加密並存儲在勒索病毒的資源部分。信息提取方法是病毒主進程打開一個管道，由定製化的Mimikatz寫入提取的用戶名和密碼信息，這些寫入的信息再由主進程讀取出來。Petya利用提取到的信息在內網程爆髮式大面積傳播。

磁碟修改過程分析

加密前，MBR會先被修改。首先將代碼 (0xBAADF00D)寫入卷引導記錄(VBR)，從而導致系統無法啟動。接下來其會修改如下扇區：

如果上述修改扇區方法失敗，Petey變種會用代碼0xBAADF00D）覆蓋0-9扇區。

安全防護建議

安全操作提示

• 不要輕易點擊來源不明附件，尤其是rtf、doc等格式。

• 及時更新Windows系統及Office補丁程序。

• 利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）。

• 停止伺服器的WMI服務。

亞信安全產品解決方案

亞信安全最新病毒碼版本（13.500.60），雲病毒碼版本（13.500.71）已經包含此病毒檢測，2017年6月28日已經發布，請用戶及時升級病毒碼版本。

針對」永恆之藍」漏洞解決方案：

亞信安全DeepSecurity和TDA 已經於5月2號發布規則能夠抵禦該勒索病毒在內網的傳播：

TDA：2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)

Deep Security：1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

亞信安全DeepEdge在4月26日已發布了針對微軟遠程代碼執行漏洞 CVE-2017-0144的4條IPS規則（規則名稱：微軟MS17 010 SMB遠程代碼執行1-4，規則號:1133635,1133636,1133637,1133638）

針對Office CVE-2017-0199漏洞解決方案：

亞信安全DeepSecurity 和TDA 已經於4月13日發布規則，攔截該漏洞：

1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)

1008295 - RestrictMicrosoft Word RTF File With Embedded OLE2link Objec

1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)

TDA Rule 18 : DNS response of a queried malwareCommand and Control domain

亞信安全WRS已經可以攔截上述惡意文檔相關C&C伺服器及惡意鏈接。

客戶答疑

Petya勒索病毒變種大面積爆發，國內外安全公司，媒體等報道鋪天蓋地而來，免疫方案，解決措施，技術細節接踵而來，令大家眼花繚亂，亞信安全集中整理了大眾比較關注的問題，基於我們已有的樣本進行分析測試得到的結果，為大家提供Q&A。

Q: Petya勒索病毒變種有免疫「疫苗」嗎？是否真的可以免疫？

A:免疫「疫苗」是基於代碼分析得來的，取決於運行的文件名，Petya變種會檢查windows目錄中是否存在自身拷貝文件perfc，大部分報道稱在windows目錄中建立同名文件perfc，並設置為只讀屬性，就可以免疫，但是在實際測試中，即便建立了免疫「疫苗」，Petya仍然會加密磁碟。

但也不排除免疫「疫苗」對其他Petya樣本起作用。

Q: 被Petya加密的文件是否可以解密？

A: 該勒索病毒使用MS CryptoAPI生成16位元組的密鑰來加密文件。解密密鑰並非存儲在本地。所以被加密的文件很難被解密。

Q: 感染Petya后，能否恢復MBR?

A：目前我們獲得的樣本中，有兩類Petya變種，一種是加密後計算機直接被強制重啟，在重啟時， MFT被加密，對於此種類型，我們無法解密MFT，用戶也無法進入系統。另外一種是，病毒建立了計劃任務一小時內重啟，在系統重啟之前是可以恢復MBR的，也就是說我們僅僅有1小時的時間來清除被感染電腦上的Petya勒索病毒變種。

Q:Petya與WannyCry有何區別嗎？

A: Petya和WannyCry都是利用」永恆之藍」漏洞傳播，Petya比WannyCry更複雜，傳播和破壞性更強。具體的參看如下表格：

【Petya與WannaCry對照表】

亞信安全持續關注該事件發展，並第一時間更新事件進展信息。