新颖勒索病毒Petya如何对你的文本举行加密

八月27日早上,一波大规模勒索蠕虫病毒攻击重新席卷天下。

 

媒体报道,北美洲、俄罗丝等多国内阁、银行、电力系统、通讯系统、公司以及机场都不可同日而语水平的遭受了影响。

 

亚洲城误乐城ca88网站 1

 

阿里云安全团队第一时间拿到病毒样本,并举行驾驭析:

 

这是一种新颖勒索蠕虫病毒。电脑、服务器感染那种病毒后会被加密特定项目文件,导致系统无法正常运作。

 

当下,该勒索蠕虫通过Windows漏洞举行传播,一马普托招可能就会沾染局域网内此外总计机。

 

一、Petya与WannaCry病毒的对待

 

1、加密目的文件类型

 

Petya加密的文件类型相比WannaCry少。

 

Petya加密的文件类型一共65种,WannaCry为178种,但是已经席卷了广泛文件类型。

 

亚洲城误乐城ca88网站 2

 

2、支付赎金

Petya需要开发300泰铢,WannaCry需要开销600日币。

 

二、云用户是否受影响?

竣工发稿,云上暂时未发现受影响用户。

7月28日凌晨,阿里云对外揭橥了通告预警。

 

亚洲城误乐城ca88网站 3

 

 

三、勒索病毒传播模式分析

 Petya勒索蠕虫通过Windows漏洞举行传播,同时会染上局域网中的另外总结机。电脑感染Petya勒索病毒后,会被加密特定类型文件,导致电脑无法正常运作。

 

阿里云安全专家探讨发现,Petya勒索病毒在内网系统中,重要透过Windows的商事举办横向移动。

 

着重通过Windows管理体系结构(Microsoft Windows Management
Instrumentation),和PSEXEC(SMB协议)举行扩散。

 

终止到眼前,黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39
个比特币(1比特币=2459日元),33笔交易,表达已经有用户支付了赎金。

四、技术和加密过程分析

阿里云安全我们对Petya样本进行研讨后意识,操作系统被感染后,重新启动时会造成无法进去系统。如下图展现的为病毒伪装的磁盘扫描程序。

 

 

亚洲城误乐城ca88网站 4

 

Petya病毒对勒索对象的加密,分为以下7个步骤:

 

亚洲城误乐城ca88网站 5

 

首先,函数sub_10001EEF是加密操作的进口。遍历所有磁盘,对每个固定磁盘创制一个线程执行文书遍历和加密操作,线程参数是一个结构体,包含一个公钥和磁盘根路径。

 

 

亚洲城误乐城ca88网站 6

 

下一场,在线程函数(StartAddress)中,先拿走密钥容器,

 

pszProvider=”MicrosoftEnhanced RSA and AES Cryptographic Provider”  

 

dwProvType=PROV_RSA_AES Provider为RSA_AES。

 

 

亚洲城误乐城ca88网站 7

 

调用sub_10001B4E,通过CryptGenKey生成AES128密钥,用于末端举办文件加密。

 

亚洲城误乐城ca88网站 8

 

要是生成密钥成功,接着调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和封存密钥的法力。

 

亚洲城误乐城ca88网站 9

 

在sub_10001973函数中判断了只对一定文件后缀加密。

 

 

亚洲城误乐城ca88网站 10

 

sub_10001D32函数效能是将密钥加密并写入磁盘根路径的README.TXT文件中,

 

 

亚洲城误乐城ca88网站 11

 

该函数在开头时调用了sub_10001BA0拿走一个主次嵌入的公钥

 

亚洲城误乐城ca88网站 12

亚洲城误乐城ca88网站, 

 

之后,调用sub_10001C7F导出AES密钥,在这么些函数中用后面的公钥对它加密。

 

 

亚洲城误乐城ca88网站 13

 

 

最终,在README.TXT中写了一段提醒付款的文字,并且将加密后的密钥写入其中。

 

因为密钥经过了程序中置放的公钥加密,被讹诈对象必须要有黑客的私钥才能解密。这也就导致了勒索加密的不可逆性。

 

 

亚洲城误乐城ca88网站 14

 

五、安全提出

  • 眼下勒索者使用的信箱已经被关停,不提出开发赎金。

     

    亚洲城误乐城ca88网站 15

     

  • 富有在IDC托管或自建机房有服务器的店堂,若是应用了Windows操作系统,立刻安装微软补丁。

  • 对大型集团或集体单位,面对许多台机器,最好仍旧接纳专业客户端举办集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等职能。

  • 保险的数据备份可以将勒索软件带来的损失最小化。指出启用阿里云快照功能对数据举行备份,并同时做好安全预防,避免被感染和破坏。

 


*
作者:阿里云安全,更多安全类热点信息及知识分享,请持续关注阿里聚安然