去年6月27日,爆发了一场Petya-esque恶意软件和Wannacry风格乌克兰的传染者。
由于仍然困惑于此恶意软件与原始Petya相关的究竟是如何,我们在Petya家族的背景下准备了这一小指南。
彼佳的起源
第一个Petya赎金软件于2016年3月左右发布,一个人/小组呼唤自己Janus Cyber Solutions。该集团正在向其联盟计划进行广告,给其他犯罪分子达成其恶意软件的机会。Janus Cyber Solutions也由适当的账户代表Twitter,首先是@janussec.,然后是@JanusSecretary.
“Janus”和“Petya”的名称受到了詹姆斯邦德电影的启发,《黄金眼》在内的邦德系列.威胁演员与所选择的主题一致,TOO-CONTED Twitter帐户的配置文件图片来自电影的一个字符,计算机程序员/黑客命名鲍里斯Grishenko.
独特的功能
从一开始,Petya就是独一无二的勒索制造器因为它具有这类恶意软件不常见的特性。虽然大多数勒索软件只能逐个加密文件,但Petya通过攻击磁盘上的低级结构,拒绝用户访问整个系统。
Petya总是由一些dropper安装,这是一个Windows可执行文件(在Petya的每个版本上,dropper都被一个新的替换)。
在安装过程中,Petya安装程序使用Petya的内核和引导加载程序覆盖磁盘。因此,受影响的机器将引导恶意内核而不是合法的操作系统。在第一次运行时,它显示了一个假的CHKDSK屏幕:
实际上,它不是检查磁盘,而是加密主文件表(MFT)Salsa20。这样,勒索软件就无法访问磁盘。加密完成后,会出现两个屏幕:一个闪烁的头骨,后面是赎金要求。这是Petya第一版中受影响的系统屏幕的样子:
官方的版本
到目前为止,它的原作者有4个Petya赎金软件,Janus:
- 1.0(红色的彼佳) -只攻击MFT
- 2.0(绿色的彼佳+ MISCHA) - 攻击MFT或文件(攻击的变体取决于部署样本的权限)
- 2.5(绿色Petya + Mischa) - 与2.0一样,但有改进
- 3.0 (《黄金眼》在内的邦德系列) -攻击MFT和文件,使用UAC绕过自动提升其权限
最近,Janus发布了万能钥匙,可以解锁上面描述的所有官方版本。你可以阅读更多相关信息在这篇博文中.
这些Petya版本可以通过主题颜色来识别。我们在下面建立了一个小画廊:
红色的彼佳
绿色的彼佳
《黄金眼》在内的邦德系列
Goldeneye是Petya的最新官方发布,并在2016年12月左右见过。
非官方版本(盗版)
由于Petya是强大的,其他网络犯罪分子被吸引使用它。但是,并非所有人都希望加入联盟计划并支付其创造者。类似于合法的软件,Petya有盗版版本。到目前为止,我们观察了两个非官方版本:
- PetrWrap-使用Petya的低级组件以及补丁Petya的DLL,包装了一个新的加载程序。它是基于Green Petya。
- Eternalpetya.- 也称为Notpetya,Expet等。恶意软件基于《黄金眼》在内的邦德系列,用于攻击乌克兰。高级层(PE文件)已被重写。
通过修改后的外观可以识别出盗版。在这两起案件中,彼佳最初的头骨都被取走了。
PetrWrap
Eternalpetya.
虽然PetrWrap是一款功能齐全的勒索软件,但EternalPetya似乎还未完成或被故意破坏,因为无法恢复用于加密MFT的Salsa密钥.一旦加密,数据就无法解密,即使是恶意软件的作者。
与原始的Goldeneye相同,Eternalpetya也在攻击MFT之前加密带有所选扩展的文件。文件使用不同的算法和键加密而不是MFT(RSA + AES,而MFT使用SALSA20加密)。7月4日,Eternalpetya的分销商提出了赎金需求,并提供销售私人RSA密钥,可以帮助解锁加密文件但不是MFT。以下是攻击者的消息[来源]:
模仿者
除了基于原始Petya的恶意软件,模仿者也开始出现。它们与Petya的代码没有任何共同之处,它们只是试图模仿它的外观或某些特征。一些示例SatanaRansomware或彼佳+,彼得亚的.NET模仿发现的@lawrenceambrams..
结论
勒索软件盗版越来越普遍,这给受害者带来了更多的问题。通常,这些盗版恶意软件的作者并不关心归还数据。他们只是利用已知勒索软件的名声来骗受害者付钱。除了描述的案例外,我们还遇到了几个版本的盗版DMALocker,其中一些变体损坏了使恢复甚至不可能恢复的数据。
Petya是一个强大的恶意软件。为了让事情变得更糟,它也很容易修改和重新灌注。即使Petya的官方线已经停止,我们也可以期待盗版版本仍然存在。
这是由Hasherezade,独立的研究员和程序员撰写的客座帖子,具有强烈的Infosec。她喜欢详细介绍恶意软件,并与社区分享威胁信息。看看她的推特@hasherezade.以及她的个人博客:https://hshrzd.wordpress.com..
评论