2017年6月27日,Petya新变种在全球范围内大规模爆发,乌克兰成为首个受害地区。该***修改系统MBR并加密硬盘数据,要求受害者支付比特币赎金。新变种利用“永恒之蓝”漏洞传播,并通过PsExec工具在局域网内扩散。本文提供了解决方案,如在PE系统下修复MBR或转移数据。
1 概述 2017年6月27日,全球大规模爆发了利用Petya新变种的网络***,最先表示受到***的是乌克兰公司。当天,卡巴斯基实验室报道称法国、德国、意大利、波兰、英国和美国都出现感染,但大部分感染都针对俄罗斯和乌克兰,当中乌克兰超过80家公司最先遭受***,包括乌克兰国家银行。
Petya于2016年3月发现,NotPetya为Petya新变种。
2 危害及判断依据
(1)修改系统MBR引导扇区
(2)强制重启后执行MBR引导扇区中的恶意代码
(3)加密受害者硬盘数据后显示敲诈信息
(4)通过Tor匿名网络索取比特币
(5)Petya只是加密了主文件表(MFT),使文件系统不可读,来拒绝用户访问完整的系统。
Petya采用RSA2048 + AES128的方式对文件进行加密,程序中硬编码RSA公钥文件,每一个盘符会生成一个AES128的会话密钥,该盘符所有文件均对该AES Key进行加密。
新变种样本:
(1)使用永恒之蓝传播
(2)利用密码获取工具,获取后局域网***
%Windir%\ dllhost.dat:PsExec的合法副本
%AppData%\ dllhost.dat:PsExec的合法副本
3 处置建议
由于在感染Petya的过程中,病毒会先重启电脑加载恶意的磁盘主引导记录(MBR)来加密文件,这中间会启用一个伪造的加载界面。中招者如果能感知到重启异常,在引导界面启动系统前关机或拔掉电源,随后可以通过设置U盘或光盘第一顺序启动PE系统,使用PE系统修复MBR或者直接转移硬盘里的数据,可以在一定程度上避免文件的损失。
加密文件不可修复。
4 样本
Petya:
MD5: af2379cc4d607a45ac44d62135fb7015
Detection: W32/Petr.A!tr
NotPetya:
MD5: 71b6a493388e7d0b40c83ce903bc6b04
Detection: W32/Petya.EOB!tr
转载于:https://blog.51cto.com/antivirusjo/2049363
扫一扫
23
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
