和WannaCry同一个漏洞!勒索病毒Petya变种再爆灾情
2020-06-25

    

和WannaCry同一个漏洞!勒索病毒Petya变种再爆灾情
系统重新开机之后所显示的磁碟检查画面与勒索讯息
 
和WannaCry同一个漏洞!勒索病毒Petya变种再爆灾情
勒索讯息画面

目前正有一波大规模的 Petya 勒索病毒变种四处肆虐当中, 尤其以欧洲最为严重 。针对昨日晚间开始横扫全欧洲的勒索病毒 Petya,趋势科技 提出最新观察,相比上个月造成全球大恐慌的 WannaCry 勒索病毒,Petya 散播的管道主要有两种:

其一为同样利用透过微软的安全性弱点 MS17-010 – Eternalblue 针对企业及消费者进行勒索攻击,而与上次 WannaCry 不同的是,本次 Petya 入侵电脑后,会修改电脑硬碟中的主要开机磁区设定,并建立排程工作于一小时内重新开机,一旦受害者重开机后其电脑萤幕将直接跳出勒索讯息视窗,无法进行其他操作。

另一个值得注意的攻击管道为其骇客利用微软官方的  PsExec 远端执行工具,以 APT攻击手法入侵企业,一旦入侵成功,将可潜伏于企业内部网路中并感染控制企业内部重要伺服器,进一步发动勒索病毒攻击,对企业内部机密资料进行加密勒索,以达到牟利之目的。

趋势科技已将此变种命名为 RANSOM_PETYA.SMA,并建议一般使用者和企业机构应採取以下三个防範措施来避免感染:

  1. 套用 MS17-010 修补更新
  2. 停用 TCP 连接埠 445
  3. 严格管制拥有系统管理权限的使用者群组

此外,趋势科技 XGen™ 防护当中的预测式机器学习以及其他勒索病毒相关防护功能,目前已可防止这项威胁并保护客户安全。我们将继续深入分析这项威胁,一有最新情况就会立即更新讯息。

感染过程

前面提到,该勒索病毒会经由 Microsoft 官方提供的 PsExec 远端执行工具来进入电脑系统。并且还会搭配 EternalBlue 这个之前 WannaCry 勒索蠕虫也用过的漏洞攻击套件来攻击 Server Message Blockv1 漏洞。 Petya 变种一旦进入系统,就会利用来执行其程式码。其档案加密程式码是放在 Windows 资料夹底下一个名为「」的档案内。

接下来,勒索病毒会新增一个排程工作,让系统至少在一个小时之后就会重新启动,并且修改硬碟的主要开机磁区以便在重新开机之后执行其加密程式码并显示勒索讯息。一开始,病毒会先显示一个假的 CHKDSK 磁碟检查程式执行画面,但其实就是病毒程式。有别于一般勒索病毒的作法,该病毒并不会修改被加密档案的副档名。它可加密的档案类型超过 60 多种,但其主要目标为企业环境常用的档案,至于其他勒索病毒经常针对的影像和视讯档案则不在此列。

和WannaCry同一个漏洞!勒索病毒Petya变种再爆灾情

和WannaCry同一个漏洞!勒索病毒Petya变种再爆灾情
感染过程示意图
勒索讯息当中的电子邮件地址早已停用,很可能付了钱之后就会没有下文

除了同样使用 EternalBlue 漏洞攻击套件之外,该病毒与 WannaCry 病毒还有其他类似之处。此 Petya 变种的勒索程序相对简单,同样也是使用写死的比特币收款位址,因此骇客需花费较多的手动作业来提供解密金钥。反观之前的 Petya 变种在付款流程画面设计上较为成熟。歹徒勒索的赎金是每位使用者 300 美元。截至目前为止,该比特币位址大约已收到 7,500 美元款项。如同其他勒索病毒一样,我们建议受害者慎重考虑是否支付赎金,尤其是这个勒索病毒,因为其勒索讯息当中的电子邮件地址 早已停用 ,所以很可能付了钱之后就会没有下文。

如需更多有关趋势科技解决方案的资讯,请 参阅趋势科技网站 。

以下是此威胁相关的 SHA256 杂凑码:


上一篇: 下一篇:

相关推荐