從誕生到變種,Petya是如何利用「永恆之藍」的?
2017年6月27日,美國、歐洲及俄羅斯等國家再度遭受了大規模的勒索病毒攻擊,甚至連烏克蘭政府機關都遭到了嚴重入侵,威脅還可能覆蓋了核子設施。
電腦專家表示,此次病毒是Petya的變種,目前由資安公司Bitdefender識別為GoldenEye,其運作方式就如同上次的WannaCry攻擊一樣,要求所有人支付300美元的比特幣以重新獲得存取權,且很難被追蹤。
2017年6月29日,因為新勒索病毒的散發者考慮不周,他在所有的勒索中都使用同一個匯款賬戶,導致該賬戶遭到有關部門追查,勒索也就此告一段落。
Petya從誕生到變種
2016年上半年,一種修改MBR並加密MFT (Master File Table)的程序,破壞力極強的勒索病毒誕生,正是Petya。
2016年下半年,其始作俑者在2016年下半年作品名為GoldenEye,是Petya的變種。於2017年6月開始流行的勒索程序類似於GoldenEye,因此也被識別為GoldenEye。不過卡巴斯基實驗室研究人員對此表示質疑,這次攻擊與Petya的特徵並不完全相同。目前業界測試 61個防毒解決方案,只有4個成功辨識了此病毒。
該病毒採用CVE-2017-0199漏洞的RTF格式附件進行郵件投放,之後釋放Downloader來獲取病毒母體,形成初始擴散節點,之後通過MS17-010漏洞和系統弱口令進行傳播。
初步分析,其可能具有感染域控制器後提取域內機器口令的能力,因此其對內網具有一定的穿透能力,對內網安全總體上比此前受到廣泛關注的WannaCry有更大的威脅,而多種傳播手段組合的模式必將成為勒索軟體傳播的常態模式。
雖未到上次WannaCry的強度,但是英、美、法、德都有超過2000台電腦遭到感染,烏克蘭國家銀行及電力公司都中招。受害人想解鎖硬碟需支付價值300美元的比特幣,已有32名受害者付費,總值大約6775美元。
MS17-010?或許永恆之藍這個名字你更熟悉
和WannaCry一樣,變種Petya也是使用了NSA根據Windows SMBv1協議漏洞(MS17-010)製造出的「永恆之藍」。
賽門鐵克(Symantec)資安公司的研究人員表示,此次攻擊雖然仍使用了與WannaCry的永恆之藍漏洞,然而這樣的駭客工具在去年4月已經被洩漏出數十種,並散播在網路上。
原始的SMBv1協議已存在了近30年,和許多80年代的軟體一樣,其是在沒有惡意攻擊者、沒有太多重要數據,電腦使用量也不高的背景下開發出來的,因而早已無法勝任當今網路環境下的應用部署。而且近幾代的Windows都已經不再使用SMBv1協議了,如Vista已升級到SMBv2,之後版本則升級為SMBv3。
不過迄今為止,大量的電腦,尤其是企業辦公用電腦沒有升級,也就意味著這些機器依然再使用SMBv1。Radware安全副總裁Carl Herberger則指出,一個組織的官僚程度越高,它越不會更新其軟體。
資安公司Armor研究員Chris Hinkley則表示,Petya的攻擊可會加密和鎖定整個硬碟,而不是像之前鎖定個別文件,會更加麻煩。
勒索結束了,病毒卻沒有
這款變種Petya遠不如WannaCry瘋狂,上文已經提到了,勒索賬戶已經被相關部門封鎖,以至於攻擊者的勒索失去了意義。隨後,確實也沒有在發生變種Petya勒索事件。
攻擊者是結束了,但是這並不意味著攻擊手段結束。
芬蘭資安公司F-Secure研究人員指出,此次病毒可能還有其他通道可以傳播,對於某些通道來說,就算已經更新電腦恐怕還是會有危險。
從數據來看,中國即使擁有7億的聯網用戶,但是WannaCry僅僅造成了小規模的攻擊,Petya則更少,近乎為0。
不過仍需要保持Windows更新,防患於未然才是最好的解決辦法。
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※定損寶發布,10萬人直面AI「搶坐位」
※綜藝節目大地震:快樂大本營疑似被整改,《極限挑戰》將退出黃金檔?
※營銷做不好?李叫獸給你支幾招,都來學著點兒
TAG:虎嗅 |
※加強版GlobeImposter勒索病毒來襲,高危變種如何應對?
※GarrantyDecrypt變種出現:「我是一個沒有感情的勒索病毒」
※一個有趣的利用Equation對象的Remcos RAT變種
※新的AndroRAT變種正在利用過期的Root漏洞伺機發起攻擊
※變種後的AJ1,你是欣賞還是拒絕?
※19世紀奧斯曼土耳其的janbiya變種,不變的是信仰!
※Mirai和Gafgyt新變種利用Struts和SonicWall漏洞攻擊企業
※Skylake處理器幽靈漏洞修補完成,Intel稱或將出現變種漏洞
※有丶小帥?Air Jordan 4變種跑鞋亮相!
※曾經的X-man變種人如今已經物是人非,只有快銀比以前更帥了
※又有新花款—Nike 推出復古變種 Benassi Slide
※新的Stuxnet變種襲擊了伊朗
※華為再玩機型變種,暢享9極有可能就是榮耀8X換個logo
※Converse 推出 All Star Gladiator Hi 變種羅馬涼鞋
※Fortinet實驗室對Mirai新變種OMG的分析
※鋸齒型鯊魚外底!Converse 變種 Chuck Taylor All Star 系列登場
※新型 IoT殭屍網路「捉迷藏」來襲,並非Mirai 變種
※Satori變種利用開放的ADB埠在Android設備中傳播
※挖礦木馬WatchBog新變種來襲,利用多款工具新漏洞
※還記得殭屍網路Mirai嗎?現在有了新變種目標是