Petya,出自1995年上映的007系列電影《黃金眼》,是電影中兩個"黃金眼"衛星之一的名字。而2016年,一款使用了該名稱的勒索病毒席捲全球,讓大家再次認識了這個可怕的名字。
近日,360互聯網安全中心捕獲了一款Petya勒索病毒的仿冒者。之所以說是在仿冒Petya,是因為該勒索病毒與Petya有許多相似之處:都是通過修改用戶計算機的MBR(主引導記錄)來破壞系統;重啟後在展示勒索信息之前,也會出現一個用字符拼成的骷髏頭——只不過這個版本的骷髏頭比原版的更加"酷炫"。
而之所以我們說它是一個仿冒者,是因為經過分析,該勒索病毒與真正的Petya還是有很多不同的。
入侵來源
首先要說的是,此次的勒索病毒入侵來源於局域網的弱口令入侵,而非真正Petya所使用的漏洞入侵方法:
目前,我們捕獲到了三款相關勒索病毒文件(update.exe、update2.exe、update3.exe),入侵腳本會在成功破解了登錄口令後,將這三款勒索病毒中的其中一款(或幾款)釋放到被成功入侵的機器中,並運行。
而就目前我們發現的腳本來看,實際上本次入侵僅傳播了update3.exe一款勒索病毒。而未被傳播的update.exe和update2.exe其實才是真正意義上的傳統勒索病毒。
可被恢復的rickroll勒索病毒
其中update.exe會將所有加密後的文件添加.rickroll的擴展名。
同時,會留下RICKROLL_BLOCKED.txt、RICKROLL_HELP.txt、RICKROLL_MESSAGE.txt三個勒索信息文件(內容完全相同):
同時,該勒索病毒使用了可被恢復的對稱加密算法,並將密鑰保存在了%APPDATA%\000000000.key文件中。
該勒索病毒所提出的金額為將400美元等值的比特幣匯入其比特幣錢包,地址如下:
1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX
同時,還留下了一個聯繫郵箱:
傳統的backup勒索病毒
與rickroll不同,update2.exe會將被所有被加密的文件後面添加.backup擴展名。雖然擴展名的含義是"備份",但看起來更像是在嘲諷那些沒有及時備份重要數據的受害者。
同時,會創建一個%APPDATA%\HOW_TO_DECRYPT_FILES.html的文件來展示勒索信息:
而勒索病毒使用的則是更為常規的非對稱加密算法,暫時難以找到技術手段對被它加密的文件進行恢復。
另外,該勒索病毒僅留下了兩個郵箱作為聯繫方式,並未直接提出具體勒索金額:
"加密"MBR的FreeWorld勒索病毒
而實際參與了這次破壞的MBR勒索病毒就顯得非常簡單粗暴了——下圖是其全部的功能代碼:
病毒會根據物理路徑分別打開計算機的\\.\PhysicalDrive0、\\.\PhysicalDrive1、\\.\PhysicalDrive2、\\.\PhysicalDrive3和\\.\I五個設備。打開之後,就直接將同一份準備好的數據文件寫入到者五個地址中去,完全沒有備份一類的操作。
也就是說我們可以這樣理解:該病毒在"加密"了計算機的MBR之後,根本沒有做可以恢復的準備——與其說這是加密,倒不如說這是在直接破壞。
此外,我們分析了勒索病毒向磁盤中強行寫入的數據。這部分數據總大小為0x8000(即32768個字節),也就是64個磁盤扇區。其中:
1. 0號磁盤扇區將被覆蓋為病毒自己的MBR。
2. 1號~33號扇區則均被"\\x07"字符來填充。
3. 34號扇區開始,則被寫入病毒的惡意代碼:包括閃動的字符骷髏頭、勒索信息、解鎖密碼相關的驗證等。
當病毒完成了上述覆蓋磁盤的操作後,便會調用系統的shutdown命令立刻重啟機器:
而重啟後,大家就會看到本文開頭那個閃動的骷髏。之後,會是如下圖的勒索信息:
該樣本的功能是最簡單的,但留下的勒索信息卻是最全的。
它要求受害者向該錢包地址發送0.1個比特幣(信息中稱約合400美元,但按本文撰寫時的匯率計算,0.1比特幣僅為340美元左右):
1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX
同時留下了聯繫郵箱:
經分析,該密碼為硬編碼在病毒代碼中的——qVwaofRW5NbLa8gj
但即便輸入了該密碼,結果依然不樂觀——因為之前簡單粗暴的將硬編碼的代碼覆蓋到了系統的磁盤中,導致MBR中的分區表部分數據已經損壞。最終結果是即便成功解除了該勒索信息,由於計算機無法識別系統分區,受害者依然無法正常進入操作系統。
不過,對此不必太過擔心,市面上有很多第三方的工具可供修復分區表。也可以使用360急救盤來進行修復。
此外,有趣的是——我們還在網絡上找到了這款粗暴破壞MBR的病毒的生成器:
也就是說,任何人可以對根據自己的需要隨意定製勒索信息內容,並生成一個粗暴破壞MBR的勒索病毒。該生成器在結尾處,還自欺欺人的加了一條"免責條款":禁止在你自己或其他任何人的計算機上運行該程序。
防護與建議
對上述三款勒索病毒,360均可正常攔截:
此外,給所有用戶提出幾點防護建議:
1. 企業內部局域網環境複雜,管理人員一定要重視對局域網內部攻擊的防禦
2. 安裝並使用安全軟件對電腦進行防護。
3. 及時打補丁,修復系統和軟件的安全漏洞。
4. 儘可能使用較新的操作系統,總體而言越是新操作系統其安全性就越高,尤其是較新版本的Windows系統默認均使用了UEFI的啟動模式,該模式可在一定程度上免疫破壞MBR的病毒攻擊。
閱讀更多 360安全衛士 的文章
