昨晚21時左右，烏克蘭遭受Petya勒索程式大規模攻擊。包括首都基輔的鮑里斯波爾國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。實際上Petya波及的國家還包括英國、印度、荷蘭、西班牙、丹麥等。

Petya看來大有與前不久WannaCry爭輝的意思。這款病毒到底有什麼特效能夠讓烏克蘭乃至全球的眾多商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊呢？

Petya都幹了些什麼？

部分安全公司，包括賽門鐵克都認為，這次的勒索程式就是去年出現的Petya的一個變種。不過卡巴斯基實驗室的研究指出，該勒索程式不能認為是Petya的變種，它只是與Petya在字串上有所相似，所以卡巴斯基為其取名為“ExPetr”（還有部分研究人員將其命名為NotePetya、Penta或者SortaPetya）。卡巴斯基在其報告中指出未來還會對ExPetr進行更為深入的分析。鑑於絕大部分媒體和許多安全公司仍然稱其為Petya，本文也不對兩者作區分。

去年Petya出現時，我們就曾報道過這款勒索軟體，至少從其行為模式來看與本次爆發的勒索程式還是存在很多相似之處：

Petya釋放的檔案向磁碟頭部寫入惡意程式碼，被感染系統的主引導記錄被引導載入程式重寫，並且載入一個微型惡意核心。接著，這個核心開始進行加密。

與傳統的勒索軟體不同的是，Petya並非逐個加密單個檔案，而是加密磁碟的MFT，並且破壞MBR，使得使用者無法進入系統。當電腦重啟時，病毒程式碼會在Windows作業系統之前接管電腦，執行加密等惡意操作。

重啟電腦後，病毒會顯示一個磁碟掃描介面，但實際上，這個介面是用來偽裝Petya會正在進行的磁碟加密操作。

下圖就是加密完成後，Petya所顯示的介面：

“當您看到這段文字的時候，你的檔案已經被加密無法讀取了。你可能在尋找恢復檔案的方法，但是不要浪費時間了，除了我們沒人能恢復。”

病毒要求感染者支付300美元的贖金解密檔案。

“請按以下要求操作： 1. 傳送價值300美元的比特幣到以下地址：1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX 2. 傳送你的比特幣錢包ID和個人安裝金鑰到[email protected]。你的個人安裝金鑰如下：XXXXX。”

想要了解本次Petya變種技術細節的同學可以檢視騰訊的詳細解讀。

小編查詢發現，截至6月28日發稿前，這個比特幣地址一共收到36筆轉賬，獲得3.6367比特幣，約合人民幣61438元。

而根據VirusTotal的掃描結果，61款防毒軟體中仍有16款沒有檢測出Petya。

Petya是怎麼傳播的？

國外媒體報道稱，受到Petya影響最大的地區是烏克蘭。而來自思科Talos、ESET、卡巴斯基實驗室等來源的分析，黑客首先攻擊了M.E.Doc，這是一家烏克蘭的會計軟體廠商。隨後黑客通過M.E.Doc的更新伺服器將一個惡意推送推給使用者。使用者更新軟體時，便感染了病毒——這可能是Petya傳播較為廣泛的一種途徑，但最初的傳播方式可能仍然不確定。

M.E.Doc今天早晨承認更新伺服器遭到攻擊，但否認傳播了病毒。

注意： 我們的伺服器正遭受病毒攻擊。 給您帶來的不便敬請諒解。

另外，我們還從其它來源瞭解到更多的傳播方式，如Petya還釆用了RTF漏洞（CVE-2017-0199）進行釣魚攻擊，能夠利用微軟Office和寫字板進行遠端程式碼執行。微軟在今年4月已經發布了針對這個漏洞的補丁。不過也有安全廠商認為CVE-2017-0199跟此次事件沒有直接關係，也並非最初始的感染源頭，如微步線上的研究：

感染源頭是CVE-2017-0199漏洞嗎？ 根據我們捕獲的樣本分析，並沒有發現相應依據。 目前多家安全公司報道稱此次攻擊是利用攜帶CVE-2017-0199漏洞附件的釣魚郵件進行投放，該樣本（SHA256:FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206）執行後下載myguy.xls（SHA256:EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6）檔案，進一步該樣本會請求域名french-cooking.com，下載新的Payload (SHA256：120d1876883d4d2ae02b4134bcb1939f270965b7055cb4bdbd17dda1d4a4baa2)，經過微步線上確認，該樣本為LokiBot家族，並非Petya家族（注：此樣本會請求域名COFFEINOFFICE.XYZ進行進一步的惡意行為），跟此次事件沒有直接關係，也並非最初始的感染源頭。

但病毒的可怕之處不僅如此，還在於在感染電腦之後的進一步傳播。

Petya利用了“永恆之藍”漏洞，這個存在於Windows SMBv1協議中的漏洞幫助WannaCry病毒在72小時內感染了全球30萬臺電腦。同樣地，微軟也釋出了對應補丁。

Petya的傳播特性相比WannaCry有過之而無不及。除了上述的傳播方式，Petya還想了一些其他的辦法進行傳播。

首先Petya會在已經感染的系統中尋找密碼，再想辦法入侵其他系統。前NSA分析員David Kennedy稱，Petya會嘗試在記憶體或者本地檔案系統中提取密碼。

然後，Petya會利用PsExec和WMI。PsExec原本是用來在其他系統上執行某些操作的工具，而Petya把它用來在其他電腦執行惡意程式碼。如果受感染的電腦擁有整個網路的管理許可權，整個網路中的電腦都可能被感染。WMI也是如此。

不幸的是，上述的這兩種方法並沒有相應的補丁，所以理論上即便是完整補丁的Windows電腦還是可能被感染。

專家建議暫時關閉.aspx)WMIC功能。

影響範圍很大嗎？

烏克蘭在此次攻擊事件中受到的影響最大，包括首都基輔的鮑里斯波爾國際機場（Boryspil International Airport）、烏克蘭國家儲蓄銀行（Oschadbank）、船舶公司（AP Moller-Maersk）和烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統都遭到了攻擊。

烏克蘭最大的國有貸款機構之一 ——國家儲蓄銀行（Oschadbank）稱，部分銀行服務受到“黑客攻擊”影響，全國3650個網點和2850臺ATM受到影響，民眾無法取錢，但客戶資料目前尚且安全。

烏克蘭東北部哈爾科夫的一家超市

烏克蘭副總理Rozenko Pavlo在Twitter釋出的政府電腦被感染的圖片（亮點好像很多）

除此之外，俄羅斯國有的石油公司Rosneft也遭受了打擊。其他受影響的國家包括英國、印度、荷蘭、西班牙、丹麥等。

鹿特丹港口

印度某公司

基於Petya更強大的傳播特性，病毒可能會繼續傳播到其他國家。

卡巴斯基的感染量統計

應當如何防範？

感染前

首先，要養成安裝更新的習慣，Petya傳播中用到的兩個途徑是已經有補丁的。而且養成安裝更新的習慣對任何病毒都有效。

其次，來自Cybereason的安全研究人員Amit Serper找到了阻止Petya持續感染計算機的方法——Petya會首先搜尋某個本地檔案，如果說該檔案存在，則退出加密過程。研究人員發現了一種免疫方法：

只需要在 C:Windows 資料夾下建立名為 perfc 的檔案，並將其設為“只讀”即可。

這種機制其實更像是“疫苗”，而非WannaCry的“Kill Switch”開關，因為每個使用者都需要自己去建立該檔案，而不像WannaCry的Kill Switch那樣是統一一個“開關”。如果你很懶，那麼可以直接執行下載批處理檔案<點選閱讀原文下載該檔案>

感染後

假如你不幸感染了，首先需要注意的一點是，交贖金是沒有用的，因為黑客所使用的郵箱供應商關閉了他的郵箱，導致受害者將無法恢復加密檔案：

Petya勒索程式作者所用的郵箱供應商Posteo宣佈，關閉這位攻擊者的郵箱賬戶[email protected]。這對於Petya勒索軟體的受害者而言就是個災難，因為此後他們將無法給Petya作者發郵件，也就無法恢復被加密的檔案。郵箱地址是Petya勒索資訊顯示的唯一聯絡方式，是勒索程式作者確認比特幣支付的手段。而Posteo郵箱供應商則表示自己只是在遵循一般處理流程，所以在發現該郵箱成為勒索程式的一部分之後就關閉了該郵箱，但Posteo表示當前正在聯絡聯邦資訊科技安全域性，“確認進行了合理響應”。

其次，在去年針對Petya病毒的分析報告中已經提到：

如果你是在第一階段檢測到Petya，那麼你的資料還是可恢復的。

所謂的第一階段就是指出現所謂“磁碟掃描”介面之前。因為我們說過，出現磁碟檢查介面時，病毒實際上在進行加密操作，在此之前只是破壞MBR，使得使用者無法進入系統。推特上也有專家證實了這樣的防範措施：

如果沒有完成這個CHKDSK過程，你的檔案仍然可以通過LiveCD恢復

值得注意的是，Petya使用了AES-128和RSA-2048雙重加密的機制，一旦加密過程完成，恢復檔案的希望也就微乎其微了。

IOC

郵箱地址

[email protected]

Bitcoin錢包地址：

1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

加密目標檔案型別：

.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls.xlsx.xvd.zip.

勒索資訊檔名：

README.TXT

不加密以下目錄：

C:Windows;