6月27日晚間,一波大規模勒索蠕蟲病毒攻擊重新席捲全球。
阿里雲安全團隊第一時間拿到病毒樣本,並進行了分析:
這是一種新型勒索蠕蟲病毒。電腦、伺服器感染這種病毒後會被加密特定型別檔案,導致系統無法正常執行。
目前,該勒索蠕蟲通過windows漏洞進行傳播,一台中招可能就會感染區域網內其它電腦。
一、petya與wannacry病毒的對比
1、加密目標檔案型別
petya加密的檔案型別相比wannacry少。
petya加密的檔案型別一共65種,wannacry為178種,不過已經包括了常見檔案型別。
2、支付贖金
petya需要支付300美金,wannacry需要支付600美金。
二、雲使用者是否受影響?
截止發稿,雲上暫時未發現受影響使用者。
6月28日凌晨,阿里雲對外發布了公告預警。
三、勒索病毒傳播方式分析
petya勒索蠕蟲通過windows漏洞進行傳播,同時會感染區域網中的其它電腦。電腦感染petya勒索病毒後,會被加密特定型別檔案,導致電腦無法正常執行。
阿里雲安全專家研究發現,petya勒索病毒在內網系統中,主要通過windows的協議進行橫向移動。
主要通過windows管理體系結構(microsoft windows management instrumentation),和p***ec(smb協議)進行擴散。
截止到當前,黑客的位元幣賬號(1mz7153hmuxxtur2r1t78mgsdzaatnbbwx)中只有3.39 個位元幣(1位元幣=2459美金),33筆交易,說明已經有使用者支付了贖金。
四、技術和加密過程分析
阿里雲安全專家對petya樣本進行研究後發現,作業系統被感染後,重新啟動時會造成無法進入系統。如下圖顯示的為病毒偽裝的磁碟掃瞄程式。
petya病毒對勒索物件的加密,分為以下7個步驟:
首先,函式sub_10001eef是加密操作的入口。遍歷所有磁碟,對每個固定磁碟建立乙個執行緒執行檔案遍歷和加密操作,執行緒引數是乙個結構體,包含乙個公鑰和磁碟根路徑。
dwprovtype=prov_rsa_aes provider為rsa_aes。
呼叫sub_10001b4e,通過cryptgenkey生成aes128金鑰,用於後邊進行檔案加密。
如果生成金鑰成功,接著呼叫sub_10001973和sub_10001d32,分別是遍歷磁碟加密檔案和儲存金鑰的功能。
在sub_10001973函式中判斷了只對特定檔案字尾加密。
sub_10001d32函式功能是將金鑰加密並寫入磁碟根路徑的readme.txt檔案中,
該函式在開始時呼叫了sub_10001ba0獲取乙個程式內建的公鑰
之後,呼叫sub_10001c7f匯出aes金鑰,在這個函式中用前邊的公鑰對它加密。
最後,在readme.txt中寫了一段提示付款的文字,並且將加密後的金鑰寫入其中。
因為金鑰經過了程式中內建的公鑰加密,被勒索物件必須要有黑客的私鑰才能解密。這也就造成了勒索加密的不可逆性。
五、安全建議
目前勒索者使用的郵箱已經被關停,不建議支付贖金。
所有在idc託管或自建機房有伺服器的企業,如果採用了windows作業系統,立即安裝微軟補丁。
對大型企業或組織機構,面對成百上千臺機器,最好還是使用專業客戶端進行集中管理。比如,阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。
可靠的資料備份可以將勒索軟體帶來的損失最小化。建議啟用阿里雲快照功能對資料進行備份,並同時做好安全防護,避免被感染和損壞。
重要通知 針對新一輪位元幣勒索蠕蟲病毒的安全建議
6月27日晚間,一波大規模勒索蠕蟲病毒攻擊重新席捲全球。阿里雲安全團隊第一時間拿到病毒樣本,並進行了分析 這是一種新型勒索蠕蟲病毒。電腦 伺服器感染這種病毒後會被加密特定型別檔案,導致系統無法正常執行。目前,該勒索蠕蟲通過windows漏洞進行傳播,一台中招可能就會感染區域網內其它電腦。一 pety...
重要通知 針對新一輪位元幣勒索蠕蟲病毒的安全建議
6月27日晚間,一波大規模勒索蠕蟲病毒攻擊重新席捲全球。阿里雲安全團隊第一時間拿到病毒樣本,並進行了分析 這是一種新型勒索蠕蟲病毒。電腦 伺服器感染這種病毒後會被加密特定型別檔案,導致系統無法正常執行。目前,該勒索蠕蟲通過windows漏洞進行傳播,一台中招可能就會感染區域網內其它電腦。一 pety...
位元大陸新一輪裁員50 ,回應稱係人員調整
據 報道,全球最大礦機生產商位元大陸公司正在經歷新一輪裁員,裁員規模達50 公司員工由原來的3000多人減少為1000人。對此,位元大陸回應 2018年末位元大陸視業務發展情況,進行了正常的人員調整,近期並未有新的調整動作。據報道,多位知情人士透露,位元大陸剛剛完成一 規模裁員,裁員範圍包括區塊鏈 ...