0x0008_“必加”（Petya）勒索继续（下）_20170706

网站：https://www.cyberwarface.com/

博客：https://www.cyberwarface.com/index.php/2017/07/445

音频：https://m.ximalaya.com/22885296/sound/42990624

微信：cyberwarface

本期内容：

　　上一期，我为大家介绍了“必加”的主要特点及传播方式，也提到了一个“自杀开关”，虽然不能保证完全能够防住所有变种，但也不妨应急使用一下。本期将为大家介绍一下“必加”与WannaCry“想哭”的区别，以及防御手段。最后，为大家介绍一下安全专家是如何定位“必加”的。

　　我们先看下“必加”和WannaCry“想哭”有哪些区别

3、与WannaCry“想哭”的区别

 　　Petya更加的小巧精悍，WanaCry是一个3.4MB左右的.exe文件，而Petya为一个354KB的.dll文件。但在攻击能力上，Petya的渗透方式更多，从WanaCry渗透模块CFG结构图和Petya渗透模块CFG结构图的对比来看。WanaCry和Petya两者都采集到445端口的数据包，都用到了『永恒之蓝』漏洞进行渗透。但是Petya还具有了某些APT的横向移动属性，利用管理共享在局域网内传播，而后通过wmic来实现远程命令执行。这个比WanaCry的渗透能力要高一截。

　　Petya和传统的勒索软件不同，不会对电脑中的每个文件都进行加密，而是通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作，通过占用物理磁盘上的文件名，大小和位置的信息来限制对完整系统的访问，从而让电脑无法启动。这种方式和加密文件是完全不同的，如果加密文件是将书柜里的每本书加把锁的话，加密磁盘相当与将整个书柜都加了锁。而MFT、MBR则是描述这个书柜如何分配空间的，一本书的每一页都存在什么位置的，如果这个信息被加密了，文件内容还原的难度就很大了。

4、手工阻断方式

a、关闭主机共享端口，或通过防火墙阻断，端口为TCP 135、137、139、445等。另外3389端口也建议关闭。

b、停止WMI服务：

　　WMI（Windows Management Instrumentation,Windows 管理规范）是一项核心的 Windows 管理技术；用户可以使用 WMI 管理本地和远程计算机，Windows 2K/XP和Windows 98 都支持WMI；如果为NT 4.0和Windows 95加上了 Service Pack 4或更高版本，NT 4.0和Win95也支持WMI。需要停止此服务，具体方法为：

　　在控制面板中，选择管理工具，在管理工具中点击服务，或者在开始-运行（WIN+R），输入services.msc运行，进入服务管理页。

　　按字母排序，找到WMI（显示名称为：WindowsManagement Instrumentation）服务，点右键进入属性页面，停止服务，并将“启动类型”改为“禁用”，如下图所示：

5、防护建议

 　　a、养成良好的安全习惯，不要点击不明邮件附件，不通过聊天软件接收不明文件，尤其是rtf、doc、lnk等格式；

 　　b、安装杀毒软件，及时更新病毒代码；

 　　c、及时更新windows系统补丁，具体修复方案可参考“永恒之蓝”。补丁及说明地址如下：

MS17-010：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

CVE-2017-0199：https://technet.microsoft.com/zh-cn/office/mt465751.aspx

旧平台指导：https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

 　　d、加强密码策略，不使用更改空口令和弱口令，并做到不同主机不使用相同的账号密码，及时修改密码

 　　e、在内部网络中，先断开网络并更新补丁。

6、总结

 　　“必加”（Petya）的一种说法是东欧女性的名字，来自斯拉夫语系，另一种说法为一款前苏联的轻型护卫舰的名字。整个攻击过程也体现了明显的地缘特点，并且也发现了“自杀开关”，病毒很容易就被抑制住了。如果是一个纯粹的勒索软件，应该追求的是大规模的传播，而不应该出现这些明显不合理的特征。该勒索软件的支付和付款确认操作特别“繁琐”，用户必须手动键入一个非常长的installationkey” + “wallet”，而这十分难以完成（相对其他勒索软件来讲），破坏数据似乎才是其真正目的。其不仅仅是加密文件，而是利用社会工程学手段传播，并在加密扇区过程中，伪装成了磁盘检查过程，以保证其完成加密顺利完成。而破坏掉系统引导过程其实对勒索过程并没有实质性好处，反而可以理解为类似乌克兰停电、索尼攻击事件等类似的破坏效果。具体是何种情况还要各大完全研究机构进一步挖掘。

 　　勒索软件在过去两年来变得非常的普遍，而且这样的态势未来还将持续。这其中有三个理由。首先，获得漏洞并利用起来将变得越来越容易。由于一些漏洞的泄露再加上有活跃的地下市场，攻击者可以购买一些攻击工具并得以利用进行攻击。第二个理由是，这样的攻击行为“投资回报率”是比较好的，因为使用勒索软件大规模发送垃圾信息是非常廉价的，而且能够尽可能多地收集到赎金。第三点是一些数字货币（例如比特币）的使用让赎金的支付变得难以追踪，这也让攻击者认为他们更加安全和受到保护。

 　　好消息是：Petya的原作者Janus在 twitter 上称要帮助受害者解锁他们的加密文件，他可能拥有一个主解密密钥。

　　经过这几次对勒索病毒的介绍，相信大家已经比较熟悉了。未来很可能还会发生更多的类似事件，但防护方式却是相近的。我们只要打好补丁、关闭不必要的服务、做好数据备份，相信可以以不变应万变，任病毒肆虐，我自平安无事。