6月27日晚間���,歐洲遭到新一輪的未知病毒的沖擊,該病毒傳播方式與本年5月發(fā)作的WannaCry病毒非常相似�。
目前,受影響最嚴(yán)重的國(guó)家是烏克蘭�,并且已經(jīng)有國(guó)內(nèi)企業(yè)中招。
此外�����,俄羅斯(俄羅斯石油公司Rosneft)���、西班牙����、法國(guó)、英國(guó)(全球最大廣告公司W(wǎng)PP)�����、丹麥(航運(yùn)巨頭APMoller-Maersk)���、印度��、美國(guó)(律師事務(wù)所DLAPiper)也受到差別程度的影響�����。
此前�����,國(guó)內(nèi)的安適公司已確認(rèn)該勒索病毒為Petya的變種�����,傳播方式與WannaCry類(lèi)似,利用EternalBlue(永恒之藍(lán))和OFFICEOLE機(jī)制漏洞(CVE-2017-0199)進(jìn)行傳播�。
不過(guò),卡巴斯基實(shí)驗(yàn)室的分析人員體現(xiàn),這種最新的威脅并不是之前報(bào)道中所稱(chēng)的是一種Petya勒索軟件的變種�,而是一種之前從未見(jiàn)過(guò)的全新勒索軟件。
盡管這種勒索軟件同Petya在字符串上有所相似���,但功能卻完全差別�,并將其命名為ExPetr�。
傳播方式
360首席安適工程師鄭文彬稱(chēng),此次最新發(fā)作的病毒具備了全自動(dòng)化的攻擊能力���,即使電腦打齊補(bǔ)丁��,也可能被內(nèi)網(wǎng)其他機(jī)器滲透感染����。
按照360的威脅情報(bào)�,有用戶收到帶有附件名為“Order-20061017.doc”的郵件,該郵件附件為使用CVE-2017-0199漏洞的惡意文件�����,漏洞觸發(fā)后從“”下載惡意程序執(zhí)行�。
外部威脅情報(bào)顯示,該勒索軟件就是由此惡意程序最早傳播���。
據(jù)分析���,病毒作者很可能入侵了烏克蘭的專(zhuān)用會(huì)計(jì)軟件me-doc�����,來(lái)進(jìn)行最開(kāi)始的傳播����。他們將病毒程序偽裝成me-doc的升級(jí)程序給其用戶下發(fā)�����。
由于這是烏克蘭官方要求的報(bào)稅軟件���,因此烏克蘭的大量基礎(chǔ)設(shè)施���、政府、銀行���、大型企業(yè)都受到攻擊���,其他國(guó)家同烏克蘭有關(guān)聯(lián)的投資者和企業(yè)也收到攻擊,這展示了此次勒索病毒變種的一個(gè)針對(duì)性特征����,針對(duì)有報(bào)稅需求的企業(yè)單位進(jìn)行攻擊也符合勒索病毒的牟利特點(diǎn)。
按照360安適中心監(jiān)測(cè)����,此次國(guó)內(nèi)出現(xiàn)的勒索病毒新變種主要攻擊途徑是內(nèi)網(wǎng)滲透,也就是利用“辦理員共享”功能攻擊內(nèi)網(wǎng)其他機(jī)器�,比擬已經(jīng)被廣泛重視的“永恒之藍(lán)”漏洞更具殺傷力。
技術(shù)原理
據(jù)阿里云安適專(zhuān)家介紹�����,勒索病毒通過(guò)Windows漏洞進(jìn)行傳播�����,同時(shí)會(huì)感染局域網(wǎng)中的其它電腦��。電腦感染勒索病毒后��,會(huì)被加密特定類(lèi)型文件���,導(dǎo)致電腦無(wú)法正常運(yùn)行��。而這種勒索病毒在內(nèi)網(wǎng)系統(tǒng)中�����,主要通過(guò)主要通過(guò)Windows辦理體系結(jié)構(gòu)(Microsoft Windows Management Instrumentation)�����,和PSEXEC(SMB協(xié)議)進(jìn)行擴(kuò)散���。
該病毒會(huì)加密磁盤(pán)主引導(dǎo)記錄(MBR)��,導(dǎo)致系統(tǒng)被鎖死無(wú)法正常啟動(dòng)��,然后在電腦屏幕上顯示勒索提示�。如果未能成功破壞MBR���,病毒會(huì)進(jìn)一步加密文檔�、視頻等磁盤(pán)文件���。
阿里云在對(duì)病毒樣本進(jìn)行研究后發(fā)現(xiàn)����,操作系統(tǒng)被感染后,重新啟動(dòng)時(shí)會(huì)造成無(wú)法進(jìn)入系統(tǒng)���。下圖顯示的就是病毒偽裝的磁盤(pán)掃描程序。
而該病毒對(duì)勒索對(duì)象的加密��,可以分為以下7個(gè)步驟:
按照安天方面的消息��,該病毒的勒索模塊實(shí)際上是一個(gè)DLL文件�����,該文件被加載后遍歷用戶磁盤(pán)文件(除C:\Windows目錄下)����,并對(duì)指定后綴名的文件進(jìn)行加密,加密后不修改原文件名和擴(kuò)展名�����。
該文件修改MBR��,同時(shí)����,添加計(jì)劃任務(wù)��,在等待一段時(shí)間后���,關(guān)閉計(jì)算機(jī)。當(dāng)用戶開(kāi)啟計(jì)算機(jī)時(shí)�,會(huì)顯示勒索界面和信息并無(wú)法進(jìn)入系統(tǒng)。
與Wannacry的差異
據(jù)雷鋒網(wǎng)宅客頻道了解����,這次的新型勒索病毒變種,是利用系列漏洞進(jìn)行傳播的新勒索病毒家族�。與5月發(fā)作的WannaCry比擬,新型勒索病毒變種的傳播速度更快�����。此次勒索病毒的主要特點(diǎn)有:
該勒索病毒使用了多種方式在內(nèi)網(wǎng)進(jìn)行攻擊傳播���,包孕使用了NSA的兵器庫(kù)中的永恒之藍(lán)�����、永恒浪漫系列遠(yuǎn)程攻擊兵器��,以及利用內(nèi)網(wǎng)共享的方式傳播�。
因此不但沒(méi)有及時(shí)修復(fù)NSA兵器庫(kù)漏洞的用戶會(huì)受影響,只要內(nèi)網(wǎng)中有其他用戶受到攻擊���,已經(jīng)打了補(bǔ)丁的電腦也可能會(huì)受到攻擊����。
此次的勒索病毒會(huì)導(dǎo)致電腦不成用�����。此前的WannaCry病毒僅會(huì)加密用戶文件��,但是用戶的電腦仍暫時(shí)可用����,而此次的勒索病毒會(huì)感染用戶電腦的引導(dǎo)區(qū)�,,導(dǎo)致用戶電腦無(wú)法正常開(kāi)機(jī)(強(qiáng)制顯示勒索信息)����。
此外,該勒索病毒加密的文件類(lèi)型比擬WannaCry少�,一共有65種,而WannaCry為178種(包孕常見(jiàn)文件類(lèi)型)。
解決方案
目前�����,網(wǎng)絡(luò)辦理員可通過(guò)�����,監(jiān)測(cè)相關(guān)域名/IP���,攔截病毒下載,統(tǒng)計(jì)內(nèi)網(wǎng)感染分布:
84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
COFFEINOFFICE.XYZ
french-cooking.com
此外���,還可以通過(guò)如下關(guān)鍵HASH排查內(nèi)網(wǎng)感染情況:
415fe69bf32634ca98fa07633f4118e1
0487382a4daf8eb9660f1c67e30f8b25
a1d5895f85751dfe67d19cccb51b051a
71b6a493388e7d0b40c83ce903bc6b04
目前��,包孕360�����、騰訊�����、阿里云���、安天��、金山毒霸在內(nèi)的各大安適廠商已經(jīng)推出了初步的解決方案�����。
以下是針對(duì)受害者的初步建議:
- 目前勒索者使用的郵箱已經(jīng)停止拜候����,不建議支付贖金���。
- 所有在IDC托管或自建機(jī)房有辦事器的企業(yè),如果采用了Windows操作系統(tǒng)�����,立即安置微軟補(bǔ)丁�����。
- 安適補(bǔ)丁對(duì)個(gè)人用戶來(lái)說(shuō)相對(duì)簡(jiǎn)單����。只需自學(xué)裝載,就能完成。
- 對(duì)大型企業(yè)或組織機(jī)構(gòu)���,面對(duì)成百上千臺(tái)機(jī)器���,最好還是能使用客戶端進(jìn)行集中辦理。
- 可靠的數(shù)據(jù)備份可以將勒索軟件帶來(lái)的損失最小化��。
