0x0007_“必加”（Petya）勒索继续（上）_20170704

网站：https://www.cyberwarface.com/

博客：https://www.cyberwarface.com/index.php/2017/07/445

音频：https://m.ximalaya.com/22885296/sound/42902190

微信：cyberwarface

本期内容：

　　距上次的节目已经过去十多天了，最近工作实在太忙，耽误了节目更新。本以为这段时间网络安全事件应该稍微平息一段时间，但事实恰恰相反，新的勒索病毒变种再次席卷全球。这次要为大家介绍的是“必加”（Petya），最早于2016年3月首次出现，也被成为Petya.A, Petrwrap,NotPetya, exPetr, 或GoldenEye。这款病毒和之前介绍的“永恒之蓝”（WannaCry“想哭”）有很多相似之处，都利用了MS17-010漏洞，相信大家听了这期节目后都打好了补丁，应该不会收到此次病毒的影响。

1、事件回顾

　　2017年6月27日晚间7点左右，欧洲大概是在下午的时候，一种新的勒索病毒变种悄然在全球开始爆发，这就是“必加”（Petya）。受影响最严重的国家是乌克兰，据称四分之三 (75%) 的受害者在乌克兰，包括其副总理Pavlo Rozenko、乌克兰切尔诺贝利核设施辐射监测系统、国家储蓄银行（Oschadbank）、Privatbank等银行、国家邮政（UkrPoshta）、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司（KyivEnergo）等均收到了严重影响。

　　乌克兰内政部部长顾问安东-格拉斯申科(Anton Gerashchenko)通过Facebook称，此次病毒入侵堪称“乌克兰史 上最大规模的病毒攻击”。他还称，黑客此次攻击目的就是“要扰乱乌克兰的经济形势和公民意识，尽管此攻击伪 装成敲诈阴谋”。

　　除了乌克兰，俄罗斯也是主要的受害者，俄罗斯最大的石油公司（Rosneft俄罗斯石油公司）、俄罗斯最大的钢铁公司（Evraz耶弗拉兹）也受到了较严重的影响，据该公司的声明称，由于顺利转换到“管理生产流程的备份系统”而避免了此次黑客攻击所带来的“严重后果”。

　　另外，澳大利亚（巧克力工厂）、新西兰、印度（最大集装箱港口）、南韩、巴西、智利、阿根廷、土耳其、以色列、白俄罗斯、立陶宛、挪威、荷兰、罗马尼亚、西班牙、法国（建筑材料公司圣戈班）、丹麦（海运公司穆勒-马士基）、德国、英国（广告巨头 wpp、吉百利）、美国（医药企业）以及欧洲多国均纷纷中招。我国已经发现了此病毒的传播情况，部分主机已经中招。但由于我国在“永恒之蓝”（WannaCry“想哭”）事件中进行了有效的应急处置，此次事件对我国影响较小。

　　袭击者关注并攻击公司主要是出于：

　　一是公司有足够的资金，而且为了修复关键的数据，能够为此支付赎金。

　　第二个原因是公司与公司间内部可能有成百上千台电脑都是互相连接的，如果感染了一家公司，那么所有的公司可能会被立即感染。

　　此次“必加”（Petya）勒索病毒攻击仍然是以加密电脑数据并勒索赎金为主要目的，受害者若想解锁需以比特币形式支付约合300美元赎金。

　　在这里要提醒大家，千万不要交赎金，我们要一致对抗黑客的勒索行为，不与恶势力妥协。当然，这是次要原因。主要原因是，黑客的邮箱已经被关闭，即便交了赎金肯定也收不到解密密钥了。获得解密被加密的机器的代码一般遵循以下几个步骤：以匿名的方式向“比特币钱包”支付比特币。这一步仍然奏效。第二步就是向攻击者提供的电子邮箱发送邮件，他们会提供解密代码。但是，为了阻止受害者继续以徒劳的努力恢复他们丢失的数据，德国的电子邮箱供应商hostPosteo关闭了攻击者的电子邮件帐户,wowsmith123456@posteo.net。也就是说，你仍然可以支付比特币，但是攻击者不会获得你的电子邮箱，你也就永远获得不了你所需要的代码。

　　这次“必加”（Petya）虽然形式上和WannaCry“想哭”有很多类似之处，但实际上还是有很大差别的。下面我简要的给各位听众介绍一下。

2、传播方式

　　这一病毒的代码相比于“想哭”勒索病毒更加专业也更加先进。虽然这一勒索病毒用的是相同的感染方法，但是它们在网络内的“传播方法”或是说蔓延方法相比于“想哭”勒索病毒更加复杂。除了用到永恒之蓝漏洞，还利用了EternalRomance 漏洞、Mimikatz 凭证收集、 wmic (windows 管理工具命令) 和 psexec，只要网络中的一台计算机被破坏, 恶意软件就会扩散到其余的电脑。

　　Petya釆用（CVE-2017-0199) RTF漏洞进行钓鱼攻击，通过EternalBlue（永恒之蓝）和EternalRomance（永恒浪漫）漏洞横向传播，用户一旦感染，病毒会修改系统的MBR引导扇区。期间，还利用了法国大神BenjaminDelpy开发的minikatz工具直接从内存中抓取Windows密码，并利用此密码攻击其他主机。

　　首先，黑客会通过发送病毒邮件的方式，诱导用户点击里面的附件，利用rtf、lnk格式文件的漏洞。利用了OFFICE OLE2LINK（CVE-2017-0199）远程命令执行漏洞。用户只要通过WORD打开了恶意附件，就会被感染，而和其他漏洞不同的是，感染过程不需要任何交互，这使其传播隐蔽性更强。当恶意代码被执行后，会从“https://french-cooking.com/myguy.exe”下载恶意程序执行。此时，会将硬盘MBR篡改为恶意代码，此过程并未备份原有MBR，导致磁盘分区恢复困难。并利用计划任务在固定时间间隔以后强制重启计算机，进而实现最终的加密。

　　之后，在重启之前，它会利用微软DHCP接口枚举内网中的主机，并尝试使用SOCKET确认IP地址是否可连接。如果得到响应, 恶意软件会尝试使用带有窃取凭据的常规文件传输功能在远程计算机上复制二进制内容。然后, 尝试使用 psexec 或 wmic 工具远程执行恶意软件。

　　再利用 “永恒之蓝”漏洞扫描网络中开放的SMB文件共享服务（135、137、139、445等端口）进行内网的横向扩散。在此期间，会针对每个固定磁盘，创建一个加密进程，使用硬编码的AES-128加密key加密本地文件。然后, 它使用攻击者的公共 RSA-2048 密钥对 AES-128 进行加密, 并将其保存到文件中。采用两个密钥的加密方案阻止了研究人员为恶意软件创建解密工具。具体文件类型比永恒之蓝要少，具体为：

　　最后，通过计划任务重启，之前植入MBR的恶意程序会被执行，并破坏硬盘的前25扇区块、加密MTF，提示勒索信息。

　　加密过程会伪装成磁盘修复界面。

　　当电脑重启时，病毒代码会在Windows操作系统之前接管电脑，执行加密等恶意操作。当加密完成后，病毒要求受害者支付价值300美元的比特币之后，才会回复解密密钥。

　　实际上，在28日就已经发现了一个“自杀开关”。这一自杀开关是在计算机上运行的，它需要每一个电脑上都安装这样一个“自杀开关”。 这一开关的制造其实比较容易：就是在C:\Windows下创建一个名为 perfc (没有扩展名) 的文件，如果这一文件存在，那么加密程序实际上就不会启动。但不同版本的Petya检测的文件名是否相同就不好说了。它不会帮助修复已经加密的计算机，但是在加密程序开启前，能够避免被感染的计算机被加密。同时也能够帮助遏制病毒的蔓延。

本期小节

　　由于时间关系，本机就为大家介绍到这里。欢迎继续关注赛博战线。