去年6月27日,爆发了一场Petya-esque恶意软件和Wannacry风格乌克兰的传染者。

由于仍然困惑于此恶意软件与原始Petya相关的究竟是如何,我们在Petya家族的背景下准备了这一小指南。

彼佳的起源

第一个Petya赎金软件于2016年3月左右发布,一个人/小组呼唤自己Janus Cyber​​ Solutions。该集团正在向其联盟计划进行广告,给其他犯罪分子达成其恶意软件的机会。Janus Cyber​​ Solutions也由适当的账户代表Twitter,首先是@janussec.,然后是@JanusSecretary

“Janus”和“Petya”的名称受到了詹姆斯邦德电影的启发,《黄金眼》在内的邦德系列.威胁演员与所选择的主题一致,TOO-CONTED Twitter帐户的配置文件图片来自电影的一个字符,计算机程序员/黑客命名鲍里斯Grishenko

独特的功能

从一开始,Petya就是独一无二的勒索制造器因为它具有这类恶意软件不常见的特性。虽然大多数勒索软件只能逐个加密文件,但Petya通过攻击磁盘上的低级结构,拒绝用户访问整个系统。

Petya总是由一些dropper安装,这是一个Windows可执行文件(在Petya的每个版本上,dropper都被一个新的替换)。

在安装过程中,Petya安装程序使用Petya的内核和引导加载程序覆盖磁盘。因此,受影响的机器将引导恶意内核而不是合法的操作系统。在第一次运行时,它显示了一个假的CHKDSK屏幕:

实际上,它不是检查磁盘,而是加密主文件表(MFT)Salsa20。这样,勒索软件就无法访问磁盘。加密完成后,会出现两个屏幕:一个闪烁的头骨,后面是赎金要求。这是Petya第一版中受影响的系统屏幕的样子:

官方的版本

到目前为止,它的原作者有4个Petya赎金软件,Janus:

最近,Janus发布了万能钥匙,可以解锁上面描述的所有官方版本。你可以阅读更多相关信息在这篇博文中

这些Petya版本可以通过主题颜色来识别。我们在下面建立了一个小画廊:

红色的彼佳

绿色的彼佳

《黄金眼》在内的邦德系列

Goldeneye是Petya的最新官方发布,并在2016年12月左右见过。

非官方版本(盗版)

由于Petya是强大的,其他网络犯罪分子被吸引使用它。但是,并非所有人都希望加入联盟计划并支付其创造者。类似于合法的软件,Petya有盗版版本。到目前为止,我们观察了两个非官方版本:

通过修改后的外观可以识别出盗版。在这两起案件中,彼佳最初的头骨都被取走了。

PetrWrap

Eternalpetya.

虽然PetrWrap是一款功能齐全的勒索软件,但EternalPetya似乎还未完成或被故意破坏,因为无法恢复用于加密MFT的Salsa密钥.一旦加密,数据就无法解密,即使是恶意软件的作者。

与原始的Goldeneye相同,Eternalpetya也在攻击MFT之前加密带有所选扩展的文件。文件使用不同的算法和键加密而不是MFT(RSA + AES,而MFT使用SALSA20加密)。7月4日,Eternalpetya的分销商提出了赎金需求,并提供销售私人RSA密钥,可以帮助解锁加密文件但不是MFT。以下是攻击者的消息[来源]:

模仿者

除了基于原始Petya的恶意软件,模仿者也开始出现。它们与Petya的代码没有任何共同之处,它们只是试图模仿它的外观或某些特征。一些示例SatanaRansomware或彼佳+,彼得亚的.NET模仿发现的@lawrenceambrams.

结论

勒索软件盗版越来越普遍,这给受害者带来了更多的问题。通常,这些盗版恶意软件的作者并不关心归还数据。他们只是利用已知勒索软件的名声来骗受害者付钱。除了描述的案例外,我们还遇到了几个版本的盗版DMALocker,其中一些变体损坏了使恢复甚至不可能恢复的数据。

Petya是一个强大的恶意软件。为了让事情变得更糟,它也很容易修改和重新灌注。即使Petya的官方线已经停止,我们也可以期待盗版版本仍然存在。

这是由Hasherezade,独立的研究员和程序员撰写的客座帖子,具有强烈的Infosec。她喜欢详细介绍恶意软件,并与社区分享威胁信息。看看她的推特@hasherezade.以及她的个人博客:https://hshrzd.wordpress.com.