安全中心 > 安全热点分析 > Petya来袭,是勒索还是阴谋?

Petya来袭,是勒索还是阴谋?

时间:2017年 07月 10日   作者:腾讯反病毒实验室

前言

 

2017年627日晚,乌克兰,俄罗斯,印度以及欧洲多国遭受到大规模Petya勒索病毒攻击,其中,乌克兰地区受灾最为严重,政府,银行,电力系统等企事业单位都受到不同程度的影响。

 

此次Petya勒索病毒的变种,使用了与WannaCry相似的传播攻击方法,利用了永恒之蓝(MS17-010)漏洞。但是与WannaCry不同的是,Petya在勒索技术方面,主要是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,限制对完整系统的访问,使电脑无法启动。病毒在加密感染后,提示用户需要支付价值300美元的比特币才能恢复。(图1

1,勒索信息

 

那么支付了价值300美元的比特币,真的可以恢复系统么?腾讯反病毒实验室对加密流程进行了分析。答案是:不能!

 

详细分析

 

Petya对数据的加密是用的对称加密算法Salsa20.

Salsa20算法的原型如下:

Salsa20_crypt(BYTE *keyenum s20_keylen_t keylenBYTEnonceDWORD siBYTE *bufDWORD buflen)

 

其中关键的Salsa20--keySalsa20-nonce存放在如下的配置扇区结构体中:(图2

 

2,配置扇区结构体

 

以下图3,图4是生成ST_SECTOR_CONFIG结构体中数据的方法

3,生成机器码字符串

 

4,ST_SECTOR_CONFIG结构体信息获取

 

在初次被感染时,生成的配置数据结构体会写回到磁盘中(图5

5,将配置数据结构体写回磁盘

 

此后在感染完系统后,重启电脑的逻辑流程如下图6

6,中毒后,重启系统流程

 

其中,中毒后首次重启,会进行全扇区加密(图7),但是显示的信息是正在修复文件系统

7,首次重启后,加密全扇区

 

当显示修复的进度达到100%后,就会弹出敲诈勒索的信息(图1)。此后再进行关机重启,就不会再显示图3的信息,直接会显示图1的勒索信息。

 

其中全扇区加密的流程如下:(图8

8,全扇区加密流程图

 

 

病毒会读取图2ST_SECTOR_CONFIG结构体(图9),进行加密,随后将Salsa20--key置成0,回写入扇区(图10,图11)。

9,读取ST_SECTOR_CONFIG结构体

 

10,销毁KEY

 

 

11,将销毁的key回写入扇区

 

所以,当完成加密流程,即图7的状态后,KEY就已经被销毁了。用户看到敲诈信息时,KEY已不复存在,病毒作者也无法恢复系统数据,而显示出来的installation key(图12)跟加密用到的Salsa20--key毫无关系。

12installation key

 

烟雾弹

 

近日原petya的作者放出了petya第一版和第二版的私钥,可以用来解密被加密的文档,这个经验证是可行的,不过仅限于感染了petya第一版和第二版的用户。而这次爆发的petya是其他黑客,篡改了原petya代码,伪装的敲诈勒索软件,严格来讲这次爆发的petya更多的是一种擦拭器恶意软件,破坏目的大于勒索目的。敲诈信息是为了转移注意力来隐藏背后的真实目的。不久前,北约呼吁发起联合调查,以查明背后黑手。

 

而作为普通用户,对抗这种破坏性恶意软件,最佳的方法就是,对系统上的文件数据,做好备份工作。就此腾讯反病毒实验室给出以下建议。

 

建议

 

针对以上分析的结论,腾讯反病毒实验室提醒广大用户,在不幸中毒之后,不要抱着侥幸心理支付赎金,造成更大的损失。

 

同时腾讯反病毒实验室给出几点防范建议:

1,及时更新系统和软件,打好补丁。

2,警惕任何通过电子邮件发来的信息。

3,通过正规渠道下载软件应用。

4,运行软件时,系统提示该程序来自不明身份的开发人员时,停止运行该软件,经管家扫描确认后再使用。

5,对系统上重要的文件和数据,定期做好备份。

 

使用腾讯反病毒实验室出品的管家急救盘,可以轻松帮你解决备份问题,同时也可以针对一些顽固病毒给出修复方案(例如,修复注册表,修复文件,修复MBR,VBR等)

下载地址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/Tencent_Rescue_Disk_20170628.zip

 

 

相关热点分析