6月27日晚間,一波大規模勒索蠕蟲病毒攻擊重新席卷全球。
媒體報道,歐洲、俄羅斯等多國政府、銀行、電力系統、通訊系統、企業以及機場都不同程度的受到了影響。
阿裡雲安全團隊第一時間拿到病毒樣本,并進行了分析:
這是一種新型勒索蠕蟲病毒。電腦、伺服器感染這種病毒後會被加密特定類型檔案,導緻系統無法正常運作。
目前,該勒索蠕蟲通過windows漏洞進行傳播,一台中招可能就會感染區域網路内其它電腦。
一、petya與wannacry病毒的對比
1、加密目标檔案類型
petya加密的檔案類型相比wannacry少。
petya加密的檔案類型一共65種,wannacry為178種,不過已經包括了常見檔案類型。
2、支付贖金
petya需要支付300美金,wannacry需要支付600美金。
二、雲使用者是否受影響?
截止發稿,雲上暫時未發現受影響使用者。
6月28日淩晨,阿裡雲對外釋出了公告預警。
三、勒索病毒傳播方式分析
petya勒索蠕蟲通過windows漏洞進行傳播,同時會感染區域網路中的其它電腦。電腦感染petya勒索病毒後,會被加密特定類型檔案,導緻電腦無法正常運作。
阿裡雲安全專家研究發現,petya勒索病毒在内網系統中,主要通過windows的協定進行橫向移動。
主要通過windows管理體系結構(microsoft windows management instrumentation),和psexec(smb協定)進行擴散。
截止到目前,黑客的比特币賬号(1mz7153hmuxxtur2r1t78mgsdzaatnbbwx)中隻有3.39 個比特币(1比特币=2459美金),33筆交易,說明已經有使用者支付了贖金。
四、技術和加密過程分析
阿裡雲安全專家對petya樣本進行研究後發現,作業系統被感染後,重新啟動時會造成無法進入系統。如下圖顯示的為病毒僞裝的磁盤掃描程式。
petya病毒對勒索對象的加密,分為以下7個步驟:
首先,函數sub_10001eef是加密操作的入口。周遊所有磁盤,對每個固定磁盤建立一個線程執行檔案周遊和加密操作,線程參數是一個結構體,包含一個公鑰和磁盤根路徑。
然後,線上程函數(startaddress)中,先擷取密鑰容器,
pszprovider="microsoftenhanced rsa and aes cryptographic provider"
dwprovtype=prov_rsa_aes provider為rsa_aes。
調用sub_10001b4e,通過cryptgenkey生成aes128密鑰,用于後邊進行檔案加密。
如果生成密鑰成功,接着調用sub_10001973和sub_10001d32,分别是周遊磁盤加密檔案和儲存密鑰的功能。
在sub_10001973函數中判斷了隻對特定檔案字尾加密。
sub_10001d32函數功能是将密鑰加密并寫入磁盤根路徑的readme.txt檔案中,
該函數在開始時調用了sub_10001ba0擷取一個程式内置的公鑰
之後,調用sub_10001c7f導出aes密鑰,在這個函數中用前邊的公鑰對它加密。
最後,在readme.txt中寫了一段提示付款的文字,并且将加密後的密鑰寫入其中。
因為密鑰經過了程式中内置的公鑰加密,被勒索對象必須要有黑客的私鑰才能解密。這也就造成了勒索加密的不可逆性。
五、安全建議
目前勒索者使用的郵箱已經被關停,不建議支付贖金。
所有在idc托管或自建機房有伺服器的企業,如果采用了windows作業系統,立即安裝微軟更新檔。
對大型企業或組織機構,面對成百上千台機器,最好還是使用專業用戶端進行集中管理。比如,阿裡雲的安騎士就提供實時預警、防禦、一鍵修複等功能。
可靠的資料備份可以将勒索軟體帶來的損失最小化。建議啟用阿裡雲快照功能對資料進行備份,并同時做好安全防護,避免被感染和損壞。
作者:阿裡雲安全,更多安全類熱點資訊及知識分享,請持續關注阿裡聚安全