1. 云栖社区>
  2. 博客列表>
  3. 正文

技术分析 | 新型勒索病毒Petya如何对你的文件进行加密

阿里云头条 2017-06-28 09:29:34 浏览10400 评论8

安全 阿里云 函数 加密 HTTPS 线程 windows Image 自建机房 磁盘

摘要: 6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。 雷锋网报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。 阿里云安全团队第一时间拿到病毒样本,并进行了分析: 这是一种新型勒索蠕虫病毒。

6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。

雷锋网报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。

image


阿里云安全团队第一时间拿到病毒样本,并进行了分析:

这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。

目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑。

一、Petya与WannaCry病毒的对比
1、加密目标文件类型

Petya加密的文件类型相比WannaCry少。

Petya加密的文件类型一共65种,WannaCry为178种,不过已经包括了常见文件类型。


2、支付赎金

Petya需要支付300美金,WannaCry需要支付600美金。

二、云用户是否受影响?
截止发稿,云上暂时未发现受影响用户。

6月28日凌晨,阿里云对外发布了公告预警。

image

三、勒索病毒传播方式分析
Petya勒索蠕虫通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染Petya勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。

阿里云安全专家研究发现,Petya勒索病毒在内网系统中,主要通过Windows的协议进行横向移动。

主要通过Windows管理体系结构(Microsoft Windows Management Instrumentation),和PSEXEC(SMB协议)进行扩散。

截止到当前,黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 个比特币(1比特币=2459美金),33笔交易,说明已经有用户支付了赎金。

四、技术和加密过程分析
阿里云安全专家对Petya样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。如下图显示的为病毒伪装的磁盘扫描程序。

image


Petya病毒对勒索对象的加密,分为以下7个步骤:

image


首先,函数sub_10001EEF是加密操作的入口。遍历所有磁盘,对每个固定磁盘创建一个线程执行文件遍历和加密操作,线程参数是一个结构体,包含一个公钥和磁盘根路径。

image


然后,在线程函数(StartAddress)中,先获取密钥容器,

pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"

dwProvType=PROV_RSA_AES Provider为RSA_AES。


image


调用sub_10001B4E,通过CryptGenKey生成AES128密钥,用于后边进行文件加密。

image


如果生成密钥成功,接着调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和保存密钥的功能。

image


在sub_10001973函数中判断了只对特定文件后缀加密。

image


sub_10001D32函数功能是将密钥加密并写入磁盘根路径的README.TXT文件中,


image


该函数在开始时调用了sub_10001BA0获取一个程序内置的公钥

image


之后,调用sub_10001C7F导出AES密钥,在这个函数中用前边的公钥对它加密。

image


最后,在README.TXT中写了一段提示付款的文字,并且将加密后的密钥写入其中。

因为密钥经过了程序中内置的公钥加密,被勒索对象必须要有黑客的私钥才能解密。这也就造成了勒索加密的不可逆性。

image

五、安全建议
目前勒索者使用的邮箱已经被关停,不建议支付赎金。


image

所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。

对大型企业或组织机构,面对成百上千台机器,最好还是使用专业客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。
可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据进行备份,并同时做好安全防护,避免被感染和损坏。

原文链接

版权声明:本文内容由互联网用户自发贡献,本社区不拥有所有权,也不承担相关法律责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:yqgroup@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

用云栖社区APP,舒服~

【云栖快讯】数据库技术天团集体亮相,分享一线生产实践经验,告诉你踩过的坑、走过的路,都是老司机,靠谱!干货分享,不可错过!  详情请点击

网友评论

1F
麦老师

这个补丁和之前永恒之蓝的补丁是一个吗

2F
觉宇

赞一个~

3F
蚂蚁的地瓜

用的什么去壳软件?

(来自社区APP)
4F
nasa灬卸甲

和永恒之蓝是一个漏洞。

(来自社区APP)
5F
qyvlik

https://m.btc.com/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
这里可以看到地址所有收到的比特币,基本上都是0.1左右。。。。共45笔(っ╥╯﹏╰╥c)

(来自社区APP)
6F
touyou

没看明白英文邮件几个意思,让我删了

(来自社区APP)
7F
季磊

很好的技术分析。

(来自社区APP)
8F
季磊

挺好的。

(来自社区APP)
关注
阿里云头条
你关注的阿里云!
313篇文章|387关注
服务底层使用经国家密码管理局检测认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云... 更多>

阿里巴巴自主研发的海量数据实时高并发在线分析云计算服务,使得您可以在毫秒级针对千亿级数据进行即时的多维分析透视和... 更多>

在云上签发Symantec、WoSign、CFCA证书,实现网站HTTPS化,使网站可信,防劫持、防篡改、防监听... 更多>

为您提供简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效率,降低 IT 成本... 更多>
2017杭州云栖大会火热抢票

2017杭州云栖大会火热抢票