新型勒索病毒Petya重新席卷全球 勒索病毒Petya如何对文件进行加密
6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球。
媒体报道,欧洲、俄罗斯等多国政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。
阿里云安全团队第一时间拿到病毒样本,并进行了分析:
这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。
目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑。
一、Petya与WannaCry病毒的对比
1、加密目标文件类型
Petya加密的文件类型相比WannaCry少。
Petya加密的文件类型一共65种,WannaCry为178种,不过已经包括了常见文件类型。
2、支付赎金
Petya需要支付300美金,WannaCry需要支付600美金。
二、云用户是否受影响?
截止发稿,云上暂时未发现受影响用户。
6月28日凌晨,阿里云对外发布了公告预警。
三、勒索病毒传播方式分析
Petya勒索蠕虫通过Windows漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染Petya勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。
阿里云安全专家研究发现,Petya勒索病毒在内网系统中,主要通过Windows的协议进行横向移动。
主要通过Windows管理体系结构(Microsoft Windows Management Instrumentation),和PSEXEC(SMB协议)进行扩散。
截止到当前,黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 个比特币(1比特币=2459美金),33笔交易,说明已经有用户支付了赎金。
四、技术和加密过程分析
阿里云安全专家对Petya样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。如下图显示的为病毒伪装的磁盘扫描程序。
Petya病毒对勒索对象的加密,分为以下7个步骤:
首先,函数sub_10001EEF是加密操作的入口。遍历所有磁盘,对每个固定磁盘创建一个线程执行文件遍历和加密操作,线程参数是一个结构体,包含一个公钥和磁盘根路径。
然后,在线程函数(StartAddress)中,先获取密钥容器,
pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"
dwProvType=PROV_RSA_AES Provider为RSA_AES。
调用sub_10001B4E,通过CryptGenKey生成AES128密钥,用于后边进行文件加密。
如果生成密钥成功,接着调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和保存密钥的功能。
在sub_10001973函数中判断了只对特定文件后缀加密。
sub_10001D32函数功能是将密钥加密并写入磁盘根路径的README.TXT文件中,
该函数在开始时调用了sub_10001BA0获取一个程序内置的公钥
之后,调用sub_10001C7F导出AES密钥,在这个函数中用前边的公钥对它加密。
最后,在README.TXT中写了一段提示付款的文字,并且将加密后的密钥写入其中。
因为密钥经过了程序中内置的公钥加密,被勒索对象必须要有黑客的私钥才能解密。这也就造成了勒索加密的不可逆性。
五、安全建议
目前勒索者使用的邮箱已经被关停,不建议支付赎金。
所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。
对大型企业或组织机构,面对成百上千台机器,最好还是使用专业客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。
可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据进行备份,并同时做好安全防护,避免被感染和损坏。
* 作者:阿里云安全,更多安全类热点资讯及知识分享,请持续关注阿里聚安全
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
相关文章
- 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。2012-05-31
新勒索病毒Petya来袭怎么办?Petya勒索病毒解决图文方法+补丁下载
勒索病毒WannaCry刚走,Petya就来了,这个病毒目前正在全球爆发,其中乌克兰、俄罗斯受害最严重。与“永恒之蓝”勒索蠕虫病毒(WannaCry)类似,下面就详情来看看最新Petya勒2017-06-28- WannaCry勒索病毒的风声渐渐平息了。虽然全球范围内仍有大量的传播和感染存在,但大家似乎都已经不怎么关心了。不过正如地震之后的余震,病毒传播过程中一般都会出现新的变2017-05-23
WannaCry病毒劫持文件怎么恢复?阿里云云盾勒索病毒文件恢复的使用教程
名为WannaCry的勒索病毒让全球数十万Windows计算机中招,重要文件被实施加密,并索要赎金解锁,现在阿里云安全团队开放勒索病毒“一键解密和修复”工具,恢复已被WannaCry2017-05-22- 5.12号WCry2.0勒索软件蠕虫大面积爆发,漏洞主要利用4.14号NSA泄露的武器库中的微软0day,进行大面积感染和传播。由于采用了RSA和AES加密算法,影响巨大。本文将不断更新,2017-05-17
winXP/win7/win10系统关闭445端口的方法(电脑勒索病毒预防)
这篇文章主要介绍了电脑勒索病毒如何预防winXP/win7/win10系统关闭445端口的方法的相关资料,需要的朋友可以参考下2017-05-15- GPG和PGP是两种加密软件,你可以通过公钥在网上安全的传播自己的文件。我前些日子使用了GPG,感觉很方便,使用中也遇到了一些问题。所以把我的使用经过写出来,目的是让初2008-10-08
- (1)了解破解rar加密文件方面的相关知识 (2)使用工具软件Advanced RAR Password Recovery 1.11破解rar加密文件 对于一些安全意识比较强的人来说,一般都会对2008-10-08
- 现在网络上流行很多文件夹加密和文件加密的所谓加密软件,很多都是个人根据开源代码编写的程序,多数都是利用windows技巧实现的(最常见的就是将文件隐藏到回收站,万一你2008-10-08
- EFS(Encrypting File System,加密文件系统)加密是一种基于NTFS磁盘技术的加密技术。EFS加密基于公钥策略。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机2008-10-08
最新评论