国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學(xué)習(xí)啦 > 新聞資訊 > 熱點(diǎn) > 全新勒索病毒Petya是什么

全新勒索病毒Petya是什么

時(shí)間: 芷婷783 分享

全新勒索病毒Petya是什么

  WannaCry剛走,Petya就來了(局域網(wǎng)也能傳播更夸張),這個(gè)病毒目前正在全球爆發(fā),其中烏克蘭、俄羅斯受害最嚴(yán)重。全新勒索病毒Petya是什么?Petya勒索病毒怎么預(yù)防?下面學(xué)習(xí)啦準(zhǔn)備告訴大家Petya勒索病毒預(yù)防方法。

  全新勒索病毒Petya是什么

  有技術(shù)大拿對(duì)Petya分析后發(fā)現(xiàn),這個(gè)全新的勒索病毒依然是使用了“永恒之藍(lán)”(EternalBlue)漏洞,這也是它能像WannaCry一樣快速傳播的主因。

  此外,需要注意的是,Petya病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū),當(dāng)電腦重啟時(shí),病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦,執(zhí)行加密等惡意操作。

  相比WannaCry來說,這次Petya勒索病毒做的更狠,不聯(lián)網(wǎng)局域網(wǎng)中也能傳播,當(dāng)然黑客這么做也是想要勒索到更多的錢財(cái),但是讓他們崩潰的是,到目前位置其只收到29筆贖金,價(jià)值7497美元(約合5.1萬元)。

  考慮到勒索病毒波及的廣度,Petya黑客恐怕要?dú)獾耐卵恕?/p>

  對(duì)于這樣的勒索,專家警告即使你付了贖金,可能也拿不回被鎖的文檔,畢竟發(fā)動(dòng)攻擊的可不是什么好人。同時(shí),這些資金可能還會(huì)資助黑客發(fā)動(dòng)下一輪攻擊。

  最搞笑的是,有支付勒索費(fèi)用的用戶吐槽,Petya的贖金支付系統(tǒng)做的實(shí)在是太爛了。

  實(shí)際上,Petya 勒索軟件在 2016 年 3 月份已經(jīng)出現(xiàn),與其它常見的勒索軟件不同,除了加密文件外,它還加密系統(tǒng)的主引導(dǎo)記錄。這一“雙管齊下”致使磁盤無法被訪問,而且大多數(shù)用戶都無法恢復(fù)任何內(nèi)容。

  昨天發(fā)現(xiàn)的這一新變種還采用了一個(gè)多月之前爆發(fā)的 WannaCry 的傳播機(jī)制,從而進(jìn)一步加大了其破壞力。Petya 以一個(gè)只有一個(gè)未命名導(dǎo)出的 Windows DLL 的形式出現(xiàn),并使用同樣的“永恒之藍(lán)”漏洞利用技術(shù)來試圖感染遠(yuǎn)程機(jī)器,如下圖所示。我們可以看到在發(fā)動(dòng)漏洞利用攻擊之前的典型操作,和 WannaCry 類似。

  一旦這一漏洞利用攻擊成功,惡意軟件將會(huì)自我復(fù)制到遠(yuǎn)程機(jī)器的 C:\Windows 目錄下,然后使用 rundll32.exe 自我啟動(dòng)。這一進(jìn)程是在被永恒之藍(lán)漏洞利用包注入的 Windows 進(jìn)程 lsass.exe 下執(zhí)行。

  由于之前 WannaCry 的大規(guī)模爆發(fā)使得許多公司部署了最新的 Windows 補(bǔ)丁,因此,Petya 引用了一些新的傳播機(jī)制來使攻擊的成功率更高。其中一個(gè)方法是是試圖將自己和一個(gè) psexec.exe 的副本復(fù)制到遠(yuǎn)程機(jī)器的 ADMIN$ 文件夾。如果成功,那么 Petya 就能借助一個(gè)遠(yuǎn)程調(diào)用將 psexec.exe 作為一項(xiàng)服務(wù)啟動(dòng),如下圖所示:

  上圖顯示了正在將該 DLL 復(fù)制到遠(yuǎn)程主機(jī)。下圖則顯示了正在復(fù)制 psexec,且正在試圖使用 svcctl 遠(yuǎn)程過程調(diào)用來啟動(dòng) psexec。

  兩個(gè)文件都復(fù)制到 C:\Windows 文件夾。

  Petya 新變種所使用的另一個(gè)方法是借助盜取的用戶憑據(jù),使用 Windows 管理規(guī)范命令行 (WMIC) 在遠(yuǎn)程機(jī)器上直接執(zhí)行該樣本。Petya 所使用的命令類似下面的命令行:

  ●exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\%s\” #1

  “%ws” 代表一個(gè)寬字符串變量,根據(jù)當(dāng)前的機(jī)器及被利用的用戶憑據(jù)來生成。

  一旦該惡意軟件在機(jī)器上運(yùn)行,它將會(huì)把 psexec.exe 投放到本地系統(tǒng),成為 c:\windows\dllhost.dat,并將另一個(gè) .EXE(根據(jù)操作系統(tǒng)不同,分別為 32 位或 64 位版本)加入到 %TEMP% 文件夾。這一二進(jìn)制文件是某個(gè)密碼恢復(fù)工具的修改版本,類似于 Mimikatz 或 LSADump。

  上述代碼顯示了在密碼提取過程中使用的 LSA 函數(shù)。

  此 .EXE 以一個(gè) PIPE 名稱作為參數(shù),類似于下面的內(nèi)容:

  ●\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}

  這一 PIPE 被 Petya 用來接收竊取的密碼,這些密碼將被用于上面提到的 WMIC。

  所有這些文件都以壓縮格式存在主 DLL 的資源部分,如下圖所示:

  隨后,Petya 新變種將加密本地文件及 MBR,并安裝一個(gè)計(jì)劃任務(wù)在使用 schtasks.exe 一小時(shí)后重新啟動(dòng)機(jī)器。如下圖所示:

  Petya 新變種所使用的加密技術(shù)是帶有 RSA 的 AES-128。這一點(diǎn)與之前的變種不同,它們使用的是 SALSA20。用于加密文件加密密鑰的RSA公鑰是硬編碼的,如下圖所示:

  該惡意軟件還試圖通過清除事件日志來隱藏其蹤跡,執(zhí)行的命令如下:

  ●wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

  在機(jī)器重啟后,一個(gè)隨機(jī)的信息將會(huì)出現(xiàn)在屏幕上,索取價(jià)值 300 美元的比特幣:

  截止到目前,此帳戶只收到少數(shù)交易,但可以預(yù)見,隨著更多的人發(fā)現(xiàn)自己被攻擊后,將會(huì)有越來越多的交易:


下一頁(yè)更多精彩的“Petya勒索病毒怎么預(yù)防”
3568456