技術分析 | 新型勒索病毒Petya如何對你的文件進行加密

6月27日晚間，一波大規模勒索蠕蟲病毒攻擊從新席捲全球。

 

媒體報道，歐洲、俄羅斯等多國政府、銀行、電力系統、通信系統、企業以及機場都不一樣程度的受到了影響。

 

 

阿里雲安全團隊第一時間拿到病毒樣本，並進行了分析：

 

這是一種新型勒索蠕蟲病毒。電腦、服務器感染這種病毒後會被加密特定類型文件，致使系統沒法正常運行。

 

目前，該勒索蠕蟲經過Windows漏洞進行傳播，一臺中招可能就會感染局域網內其它電腦。

 

1、Petya與WannaCry病毒的對比

 

一、加密目標文件類型

 

Petya加密的文件類型相比WannaCry少。

 

Petya加密的文件類型一共65種，WannaCry爲178種，不過已經包括了常見文件類型。

 

 

二、支付贖金

Petya須要支付300美金，WannaCry須要支付600美金。

 

2、雲用戶是否受影響？

截止發稿，雲上暫時未發現受影響用戶。

6月28日凌晨，阿里雲對外發布了公告預警。

 

 

 

3、勒索病毒傳播方式分析

 Petya勒索蠕蟲經過Windows漏洞進行傳播，同時會感染局域網中的其它電腦。電腦感染Petya勒索病毒後，會被加密特定類型文件，致使電腦沒法正常運行。

 

阿里雲安全專家研究發現，Petya勒索病毒在內網系統中，主要經過Windows的協議進行橫向移動。

 

主要經過Windows管理體系結構（Microsoft Windows Management Instrumentation），和PSEXEC（SMB協議）進行擴散。

 

截止到當前，黑客的比特幣帳號(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 個比特幣（1比特幣=2459美金），33筆交易，說明已經有用戶支付了贖金。

4、技術和加密過程分析

阿里雲安全專家對Petya樣本進行研究後發現，操做系統被感染後，從新啓動時會形成沒法進入系統。以下圖顯示的爲病毒假裝的磁盤掃描程序。

 

 

 

Petya病毒對勒索對象的加密，分爲如下7個步驟：

 

 

首先，函數sub_10001EEF是加密操做的入口。遍歷全部磁盤，對每一個固定磁盤建立一個線程執行文件遍歷和加密操做，線程參數是一個結構體，包含一個公鑰和磁盤根路徑。

 

 

 

而後，在線程函數（StartAddress）中，先獲取密鑰容器，

 

pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"  

 

dwProvType=PROV_RSA_AES Provider爲RSA_AES。

 

 

 

調用sub_10001B4E，經過CryptGenKey生成AES128密鑰，用於後邊進行文件加密。

 

 

若是生成密鑰成功，接着調用sub_10001973和sub_10001D32，分別是遍歷磁盤加密文件和保存密鑰的功能。

 

 

在sub_10001973函數中判斷了只對特定文件後綴加密。

 

 

 

sub_10001D32函數功能是將密鑰加密並寫入磁盤根路徑的README.TXT文件中，

 

 

 

該函數在開始時調用了sub_10001BA0獲取一個程序內置的公鑰

 

 

 

以後，調用sub_10001C7F導出AES密鑰，在這個函數中用前邊的公鑰對它加密。

 

 

 

 

最後，在README.TXT中寫了一段提示付款的文字，而且將加密後的密鑰寫入其中。

 

由於密鑰通過了程序中內置的公鑰加密，被勒索對象必需要有黑客的私鑰才能解密。這也就形成了勒索加密的不可逆性。

 

 

 

5、安全建議

• 目前勒索者使用的郵箱已經被關停，不建議支付贖金。

   

   

• 全部在IDC託管或自建機房有服務器的企業，若是採用了Windows操做系統，當即安裝微軟補丁。

• 對大型企業或組織機構，面對成百上千臺機器，最好仍是使用專業客戶端進行集中管理。好比，阿里雲的安騎士就提供實時預警、防護、一鍵修復等功能。

• 可靠的數據備份能夠將勒索軟件帶來的損失最小化。建議啓用阿里雲快照功能對數據進行備份，並同時作好安全防禦，避免被感染和損壞。

 

--------------------------------------------------------------

* 做者：阿里雲安全，更多安全類熱點資訊及知識分享，請持續關注阿里聚安全