6月27日晚,一波大规模勒索软件攻击再次席卷全球。据媒体报道,包括欧洲、俄罗斯在内的多个国家的政府、银行、电力系统、通信系统、企业、机场等都受到了不同程度的影响。阿里云安全团队第一时间获取病毒样本并分析:这是一种新型的勒索蠕虫病毒。当计算机和服务器感染该病毒时,某些类型的文件会被加密,导致系统无法正常运行。目前,该勒索蠕虫通过Windows漏洞传播,一名受害者可能感染局域网内的其他计算机。一、Petya与WannaCry病毒的比较1、加密的目标文件类型Petya加密的文件类型比WannaCry少。Petya加密的文件类型共有65种,WannaCry加密的文件类型有178种,但它们已经包含了常见的文件类型。2.支付赎金:Petya需要支付300,WannaCry需要支付600。2、云用户是否受到影响?截至发稿,云端暂未发现受影响用户。6月28日凌晨,阿里云发布公告预警。三、勒索病毒传播方式分析Petya勒索蠕虫通过Windows漏洞传播,同时感染局域网内的其他计算机。计算机感染Petya勒索病毒后,某些类型的文件会被加密,导致计算机无法正常运行。阿里云安全专家发现,Petya勒索病毒主要在内网系统中通过Windows协议横向移动。主要通过Windows管理架构(MicrosoftWindowsManagementInstrumentation)和PSEXEC(SMB协议)传播。截至目前,黑客的比特币账户(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)只有3.39个比特币(1比特币=2459),交易33笔,说明部分用户已经支付了赎金。4、技术及加密过程分析阿里云安全专家对Petya样本进行研究发现,操作系统被感染后,重启后会导致无法进入系统。下图显示了伪装成病毒的磁盘扫描程序。Petya病毒对勒索对象的加密分为以下七步:首先,函数sub_10001EEF是加密操作的入口点。遍历所有磁盘,为每个固定磁盘创建一个线程,进行文件遍历和加密操作。线程参数是一个包含公钥和磁盘根路径的结构。然后,在线程函数(StartAddress)中,首先获取密钥容器,pszProvider="MicrosoftEnhancedRSAandAESCryptographicProvider"dwProvType=PROV_RSA_AESProvider为RSA_AES。调用sub_10001B4E通过CryptGenKey生成一个AES128的密钥,用于后面的文件加密。如果密钥生成成功,则调用sub_10001973和sub_10001D32,分别是遍历磁盘加密文件和保存密钥的函数。在sub_10001973函数中,判断只对特定的文件后缀进行加密。sub_10001D32功能是将密钥加密后写入磁盘根路径下的README.TXT文件中。该函数首先调用sub_10001BA0获取内置公钥,然后调用sub_10001C7F导出AES密钥。在这个函数中,使用前面的公钥对其进行加密。最后在README.TXT中写入一段提示支付的文字,并将加密后的密钥写入其中。因为密钥是通过程序内置的公钥加密的,所以被勒索的对象必须有黑客的私钥才能解密。这也导致了勒索软件加密的不可逆性。5.安全建议目前勒索者使用的邮箱已经关闭,不建议支付赎金。所有服务器在IDC托管或自建机房的企业,如果使用Windows操作系统,请立即安装微软补丁。对于大型企业或组织,面对成百上千台机器,最好使用专业客户端进行集中管理。例如,阿里云的安全骑士提供了实时预警、防御、一键修复等功能。可靠的数据备份可以将勒索软件造成的损失降到最低。建议开启阿里云快照功能备份数据,同时做好安全防护,避免感染和损坏。作者:阿里云安全,更多安全热点资讯和知识分享,请持续关注阿里聚安全
