近日,欧洲多个国家遭受Petya勒索病毒的攻击,这是近期全球范围内第二波大规模的勒索病毒爆发。该病毒远程加密电脑的磁盘,然后索要赎金。目前,乌克兰、法国、英国、俄罗斯等国都遭受该勒索病毒的攻击。
北京邮电大学网络空间安全学院芦效峰副教授带领的恶意软件分析实验室也取得了Petya病毒的样本,并在实验室自主研发的“智能恶意软件检测平台”上进行了实测,并和之前的勒索软件WannaCry进行了对比分析,发现了Petya的恶意软件行为特征。
1.从病毒样本直观比较上看
WanaCry是一个3.4MB左右的.exe文件,而Petya为一个大小仅为353.9KB的.dll文件。这意味着Petya不能直接启动,必须通过其他程序调用。这和一些报道中指出的乌克兰专家称Petya病毒是通过电子邮件侵入电脑系统,邮件含有遭到病毒感染的Word和PDF格式附件相一致。这也提醒大家不要随便打开电子邮件中的可疑附件。
2. 从加密技术上看,Petya与WannaCry勒索软件显著不同
WanaCry获取所有文件的路径,然后逐个文件进行加密,再生成新文件同时删除旧文件,从而进行勒索。Petya的敲诈信息显示其加密了整个磁盘,但这只是Peyta开发者使得障眼法。
WannaCry勒索病毒会对磁盘上的大量文件进行加密保存并删除原文件,那么大家就可以单从NtCreateFile、DeleteFile 、MoveFileWithProgress这三项API调用的数量的上来判断样本是否存在类似恶意行为。例如,WannaCry在沙箱中指定2分钟运行期间总共被记录了150079次API调用,其中NtCreateFile占了7.0%,DeleteFile占了4.8%。
Petya的行为方式则不一样,老Petya样本加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过让电脑无法启动实现勒索,磁盘中存储的文件并没有真正被加密。而新Petya 写入自己的MBR,设置计划任务进行重启,并利用永恒之蓝漏洞进行传播。
从上图可以发现,Petya样本使用NtCreateFile打开了在磁盘,然后使用SetFilePointEx设置了当前写入位置即文件指针的偏移量,接着用NtWriteFile开始写入其自定义的MBR。从写入的buffer内容来看,在这里Petya写入了假CHKDSK的信息以及勒索信息。当系统重启后,执行病毒的MBR,伪装成CHKDSK进行修复磁盘,这一步的时候其实磁盘上的文件并未完全被加密。
3. 具有反沙箱检测
作为反沙箱的手段,恶意样本对VirtualBox的文件以及设备进行了检测。逃避沙箱检测是恶意件或病毒的一个显著特点。
4. 强制设置计划任务进行重启
通过命令行,调用系统的schtasks来设置计划任务,在1个小时51分后重启计算机。Shutdown的-f 是强制运行要关闭的应用程序,-r 是关闭之后重新启动,-t则设置关机倒计时。而正常软件一般是经用户确认后重启。
5. 从磁盘中删除二进制文件
恶意样本在磁盘中释放了一个二进制文件,而在执行之后就将其删除。该操作可以视为恶意软件自身保护行为。
6. 固定字符串分析
大家对Petya做了固定字符串分析,分析显示其包含了一些极度具有勒索性质的文字内容,如“your important files are encrypted”,“All you need to do is submit the payment and purchase the decryption key”,”Send $300 worth of Bitcoin to following address”等。通过检测这些敏感的字符串,可以快速发现和识别类似的勒索软件。
7. 网络行为分析
为了感染其他电脑,Petya根据本机的IP地址及所在子网,通过ARP协议查询局域网内主机。
和WannaCry类似,Petya利用了之前WannaCry利用的永恒之蓝(MS17-010)漏洞,通过445端口进行传播。下图显示了感染Petya病毒的电脑访问响应ARP主机的445端口(SMB)。
病毒尝试连接无响应的IP地址及端口。如上文中网络分析所示,样本尝试访问了192.168.56.1的445端口,而该端口并无响应,说明样本存在端口扫描行为。
是否付费就可以恢复文件?
根据报道,目前为止,超过40名受害者向Petya的作者支付了超过1万美元的赎金,但其实他们无法恢复文件。有分析说,Petya可能没有想象中的那么简单,很可能是用于政治目的的网络武器。
安全措施
1. 升级系统补丁到最新,修复永恒之蓝(ms17-010)漏洞。
2. 及时更新终端杀毒软件。
3. 对于未知邮件中的链接或附件不要打开,
4. 不要随意从网络下载可执行程序并直接运行。
5. 在非业务所需的机器上,可以禁止WMI服务和远程文件共享功能。
6. 通过专业的磁盘管理软件,如RestoreMBR提前备份磁盘的主引导记录MBR文件,用户如果发现系统异常重启,可以立即关机,随后开机在BIOS里设置U盘或光盘启动系统,然后使用Windows PE启动系统,再使用专用的磁盘管理软件恢复之前备份的MBR文件。如果之前没有备份MBR文件,则可以用该方法拷贝出硬盘里的数据,可以避免文件的损失。
