五月初利用微软 EternalBlue 漏洞制作的 WannaCry 勒索病毒在全世界肆虐造成损失惨重,不过这场闹剧还没结束,目前在欧洲已经有另一只名为 Petya 的勒索病毒也正利用相同的漏洞进行攻击,且更进一步的透过 APT 渗透攻击,潜伏在企业内部进行加密勒索,对企业造成重大损失,目前 Petya 已经在欧洲肆虐,虽然目前尚未接获有灾情传出,但也务必要小心处理。
Petya 如何进行攻击?
Petya 勒索病毒有两条感染途径,其中一条与 WannaCry 勒索病毒相同,皆透过 SMBv1 的漏洞入侵被害者的电脑,另一感染途径则使用使用微软 PsExec 远端执行工具入侵。
推荐阅读:防范 WannaCry、EternalBlue 或类似病毒处理流程 (官方版)
Petya 潜入系统后会透过 Windows 系统程式 (rundll32.exe) 执行其程式码,并自动下载加密程式放在 Windows 资料夹中名为“perfc.dat”的资料夹内。同时 Petya 也会修改硬盘的主要开机磁区 (MBR),并自动设定 Windows 排程让电脑在一段时间后自动重开机,系统重开机以后就会自动执行其加密程式 (伪装成假的 chkdsk 磁盘检查程式) 开始加密电脑中的档案,值得注意的是:因为还没进入 Windows,防毒软件在档案被加密的过程完全没有办法进行防护,造成的损失会相当严重。
此外,Petya 加密过后并不会改变档案的副档名,让被感染者不容易目测发觉,这与一般勒索病毒有很大的差别。
▲Petya 感染流程 (图/趋势科技)
▲中毒重开机后的勒索画面 (图/Theregister)
使用 APT 手法潜伏攻击,对企业造成严重伤害
除了加密手法的改变以外,Petya 也使用与一般勒索病毒不同的 APT (持续式渗透威胁) 攻击手法,在电脑感染病毒后可能会潜伏在系统内一段时间,伺机搜集、分析情报,一段时间后再进行一次有效的攻击。
Petya 的 APT 攻击方法则是潜伏在企业中电脑,并感染取得企业内部重要服务器控制权,并在适当时机发动攻击,由于其已经“布局”一段时间,这样的攻击方式造成的伤害及受伤速度通常会令企业来不及防御而造成重大伤害。
根据比特币 (bitcoin) 付款网址追踪,目前该作者已经大约收到 7500 美元的勒索收入,不过根据趋势科技的报导,该作者提供的 email 地址已经失效无法使用,支付赎金后可能也无法收到解密金钥,受害者应该慎重考虑是否支付赎金。
参考:趋势科技
更多WannaCry相关报导
- 比 WannaCry 还凶狠,Petya 勒索病毒使用新的攻击流程,防毒软件恐怕也挡不住!
- 上网看影片小心!骇客正在透过字幕档入侵你的电脑!
- 解惑:WannaCry 勒索风暴 XP 逃过一劫,原来是被老系统唾弃
- XP 专用 WannaCry 勒索病毒解密工具 Wannkey + Wanafork
- 别哭!WannaCry 解密工具程式来了! (Win 7/XP/2003/Vista可解密)
