2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致许多企业遭受攻击。
图1. 企业受到攻击数量最多的国家(Top 20)
与WannaCry勒索病毒类似,Petya同样利用“永恒之蓝”漏洞进行传播。但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装“永恒之蓝”补丁,Petya依然能够在企业内部进行传播。
初始感染方式
赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了MEDoc。MeDoc是一种税务和会计软件包,该工具在乌克兰被广泛使用,这也表明,乌克兰企业是攻击者此次攻击的主要目标。
在获得最初的立足点后,Petya便开始利用不同方式在整个企业网络中进行传播。
传播和横向传播
Petya是一种蠕虫病毒,该病毒能够通过建立目标计算机列表,并使用两种方法在计算机中实现自传播。
IP地址和认证信息收集
Petya通过建立包含本地局域网(LAN)中的主要地址与远程IP在内的IP地址列表来进行传播。
一旦确定目标计算机列表,Petya将列出一份用户名和密码列表,并通过该列表向目标计算机进行传播。用户名和密码列表会保存在内存中。Petya收集认证信息有两种方式:
● 在Windows凭据管理器中收集用户名和密码
● 投放并执行一个32位或64位的认证信息转储器
横向传播
Petya实现网络传播的主要方式有两种:
● 在网络共享里实现传播:Petya通过使用获取的认证信息,自行复制到[COMPUTER NAME]\\admin$,从而向目标计算机传播。之后,该病毒会使用PsExec或Windows管理规范命令行 (WMIC) 工具远程实现传播。上述所提到的两种工具均是合法工具。
● SMB漏洞:Petya使用“永恒之蓝”和“永恒浪漫”这两种漏洞的变体进行传播。
初始感染和安装
Petya起初会通过rundll32.exe加以执行,并使用以下指令:
● rundll32.exe perfc.dat, #1
一旦动态链接库(DLL)开始加载,该程序会首先尝试将自己从受感染系统中移除。在最后将文件从磁盘中删除之前,它会打开此文件并用空字符覆盖文件内容,目的是阻止用户通过取证技术来恢复文件。
随后,该程序将试图创建以下文件,用于标记已受感染的计算机:
● C:\Windows\perfc
MBR感染和加密
Petya在安装完成后,会修改主引导记录(MBR),使该病毒能够在系统重启时,劫持受感染计算机的正常加载过程。受到修改后的MBR可用来加密硬盘,并同时模拟磁盘检查(CHKDSK)界面,该界面随后将向用户显示勒索信息。
文件加密
Petya有2种加密文件的方式
● 在Petya传播至其他计算机之后,用户模式加密将会发生,磁盘中带有特定扩展名的文件遭到加密。
● MBR受到修改,并加入定制加载器,用于加载CHKDSK模拟器。该模拟器的目的在于隐藏磁盘加密行为。上述活动会在用户模式加密发生后完成,因此,这种加密采用了双重加密:用户模式加密和全磁盘加密。 
