一、概述
6月27日晚间,代号为“Petya”的勒索病毒肆虐全球,根据外国媒体报道,俄罗斯石油公司Rosneft、乌克兰国家储蓄银行和政府系统都受到了攻击,仅俄、乌两国就有80多家公司被该病毒感染,就连乌克兰副总理的电脑也不幸中招。其他受影响的国家包括英国、印度、荷兰、西班牙、丹麦等。
经过深度分析,火绒安全团队惊讶地发现,Petya和以往的勒索病毒有很大不同——病毒作者精心设计制作了传播、破坏的功能模块,勒索赎金的模块却制作粗糙、漏洞百出,稍有勒索病毒的常识就知道,病毒作者几乎不太可能拿到赎金——或者说,病毒作者根本没打算得到赎金。
这种行为非常不可思议,火绒安全工程师认为,与其说Petya是勒索病毒,不如说它是披着勒索病毒外衣的反社会人格的恶性病毒,就像当然臭名昭著的CIH等恶性病毒一样,损人不利己,以最大范围的传播和攻击破坏电脑系统为目的。
从传播能力来看,进入内网环境的Petya传播方式非常丰富:利用“永恒之蓝”和“永恒浪漫”两个漏洞进行传播;还通过内网渗透使用系统的WMIC和Sysinternals的PsExec传播……所以,即使电脑修复了“永恒之蓝”漏洞,只要内网有中毒电脑,仍有被感染的危险。因此,Petya的传播能力和威胁范围远远超过5月份震惊世界的WannaCry病毒。
从破坏能力来看, Petya除了像其他勒索病毒一样加密锁定文件之外,还会修改硬盘主引导记录(MBR)、加密硬盘文件分配表(MFT),导致电脑不能正常启动。
Petya病毒开出了常规的价值300美金的比特币赎金,但是却没有像常规勒索病毒一样向受害者提供可靠、便捷的付款链接,而是选择用公开的电子信箱来完成赎金支付,很显然,这样做特别粗糙和脆弱。病毒爆发后,邮件账户立刻被供应商Posteo关闭,导致赎金交付的流程中断。相比于“精巧”、多样的传播和破坏功能,病毒作者对赎金支付功能很不重视,用一种不可靠、简单的方式“敷衍了事”,似乎并不关心能否收到赎金。
目前全球范围内没有一例成功支付赎金,进而解锁了文件和系统的报告。该病毒不光和其他勒索病毒迥然不同,更是违逆了近10多年来,各种病毒、木马大都已牟利为目的的“行业潮流”。
在病毒爆发的第一时间,火绒安全团队就紧急升级了病毒库。下载“火绒安全软件”,保持默认的自动升级和防御设置即可拦截病毒。最后再强调一句,鉴于赎金支付流程已经中断,火绒安全团队建议受害者别再去尝试支付赎金。
二、Petya not Petya
火绒团队通过分析发现,此次攻击事件同上次的“WannaCry”类似,利用漏洞使得传播速度更快,但是对勒索病毒更应该关注的支付赎金流程都是草草处理,这一点很奇怪。尤其是新“Petya”,在内网传播功能上病毒更是花费了心思。
新旧两个版本的“Petya”相比,旧版本“Petya”的更像是一个真正的勒索病毒,在支付赎金的手段上,它会为不同用户生成不同的暗网地址用户支付赎金。而新版本的“Petya”反而弱化了支付赎金流程,只是提供了一个简单的邮箱和黑客联系,如果病毒的目的是为了勒索,是旧版本的“Petya”升级,应该没有必要去掉这个流程。
另外”WannaCry”和新“Petya”两个病毒通过勒索文件所得到的赎金有限,几乎所有的安全专家第一时间都建议不要支付赎金。普遍认为的原因是,在勒索病毒“Petya”蔓延后, 电邮提供商Posteo直接封掉了“Petya”黑客收取赎金时用到的电子邮箱帐号。病毒制作者无法收到邮件,也就无法提供解密密钥。火绒团队分析后认为,更深的原因是即使该邮箱存在,使用邮件方式去确认感染数量众多的用户是否支付赎金,也不合乎常理。
病毒作者留下的联系邮箱,和模拟旧版本“Petya”相似的勒索界面还有加密方法,更像是一个个的“幌子”,用于掩盖病毒疯狂传播造成更大“破坏”的目的。
新“Petya”病毒到底是利用CVE2017-0199漏洞攻击,或是利用MEDOC更新服务器推送病毒,无论这两种说法哪一个真的,都可以说明黑客精心设计和制作的攻击都不像是为了赚取赎金,更像是为了快速传播并造成更多损害。
新“Petya”的作者熟悉内网渗透流程,同“WannaCry”的传播相比,即使安装了Windows的全部补丁也不能阻止新“Petya”在内网的传播。“WannaCry”和“Petya”两次病毒的大面积爆发,更像是黑客攻击“预演”和“实战”,是黑客对所有人的“力量展示”。
三、新“Petya”的传播分析
Petya病毒除了使用通过漏洞进行传播之外,还具有很强的内网渗透能力。其主要的内网传播方式主要有:
1.该病毒维护着一个主机密码表,通过CredEnumerateW函数获取用户凭据和使用mimikatz工具获取用户名密码这两种方式对密码表进行填充。其获取的密码表会在用于进行传播并使用wmic和psexec进行远程执行。
2.将其所有可以访问的主机都加入到另一个列表中,对列表中的每一个主机都进行一次远程传播和执行的尝试。由于同属于同一局域网中,有可能在被感染主机上依然存在对其他主机的网络访问权限,病毒利用该权限对内网环境进行传播。
3.通过EnternalBlue和EnternalRomance漏洞进行传播。
通过对新“Petya”分析,火绒发现与一般勒索病毒相比,作者更熟悉内网渗透流程,在传播上花费了极大的心思。传播相关代码占到了病毒整个代码的70%以上,和“WannaCry”仅通过“永恒之蓝”这单一漏洞传播相比,新“Petya”还利用了“Shadow Brokers”泄露的另一个漏洞“永恒浪漫“。除了利用漏洞利用外,病毒还使用多种方式获取用户密钥或凭证进行内网渗透,即使安装了全部补丁的Windows系统,也不能阻止新“Petya”在内网的传播。
截至到目前为止,火绒没有监控到新“Petya”的真正变种,更多的都是加壳和修改版。病毒作者似乎销声匿迹,这一点上和“WannaCry”也非常相似,一样是疯狂传播,一样是没有通过赎金真正获利,但是对全球造成的破坏确是存在的。
“WannaCry”和“Petya”这两次相似病毒的大面积爆发,更像是黑客攻击“预演”和“实战”,是对所有人的“力量展示”。
