新闻快讯
< >

Petya勒索软件通过乌克兰被感染的会计软件爆发

E安全6月28日讯 北京时间6月27日,Petya勒索软件大范围爆发,从而刷爆各大媒体版面、朋友圈、微博等。据思科Talos、ESET、MalwareHunter、卡巴斯基实验室、乌克兰警方等多种消息来源表示,不知名的攻击者感染了M.E.Doc(M.E.Doc是乌克兰公司使用的热门会计软件)更新服务器,并向客户推送了这个恶意软件更新。

当更新到达M.E.Doc的客户端时,被感染的软件包传送了Petya勒索软件(也被称为NotPetya或Petna)。

M.E.Doc证实并否认了更新问题

M.E.Doc软件厂商似乎在无意中证实,今天早上出现异常,并发布了安全公告:

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

(中文翻译:注意!我们的服务器经历了一场病毒攻击。抱歉给您带来不便)

几个小时之后,随着Petya勒索软件在乌克兰和全球其它多国大规模爆发,M.E.Doc在Facebook上否认其服务器服务于任何恶意软件。

5月,M.E.Doc更新传播XData勒索软件

安全研究人员MalwareHunter表示,这并非M.E.Doc首次通过恶意的软件更新传送勒索软件。

上个月,M.E.Doc公司服务器遭受攻击,攻击者疑似运行XData勒索软件,当时在乌克兰造成一场“浩劫”,而M.E.Doc公司也是否认,软件更新服务器与这起攻击有关联。

M.E.Doc公司目前并未就此次Petya勒索软件爆发予以置评。卡巴斯基公司表示,90%的受害者位于乌克兰和俄罗斯,这些地区正是M.E.Doc的主要覆盖区域。

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

Petya就是NotPetya

据安全网站Bleeping Computer报道,卡巴斯基实验室的安全研究员科斯廷·拉尤表示,这款勒索软件使用了Petya的旧代码,但这款勒索软件却又完全不同,自成一派。

这就是为什么许多研究人员在社交媒体上将Petya称之为NotPetya。

然而,Malwarebytes研究人员哈奇瑞扎德(Hasherezade,研究Petya的专家)认为,NotPetya的作者创建了原始的Petya、Mischa和GoldenEye勒索软件。

感染程序的更多细节

思科与卡巴斯基的研究人员也披露了有关NotPetya执行的新细节。研究人员指出,这款勒索软件首次通过被感染的M.E.Doc的软件更新系统。

之后,NotPetya使用密码获取工具收集本地网络的凭证,之后将其传送至PsExec、WMIC这类工具。这些工具使用这些密码传播到同一网络上的新电脑。

此外,NotPetya还使用“影子经纪人”2017年4月泄露的2个NSA漏洞:“永恒之蓝”(ETERNALBLUE)和“永恒浪漫”(ETERNALROMANCE)。

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

Petya与WannaCry的差异

NotPetya使用这2个漏洞利用通过LAN传播到其它电脑。与Wannacry不同的是,NotPetya只通过LAN传播,不通过互联网传播。

发现WannaCry Kill Switch功能的研究人员MalwareTech表示,NotPetya的危险性不及WannaCry。

MalwareTech表示,Petya攻击有所不同,它使用的漏洞利用只用来在本地网络传播,而非互联网。由于本地网络范围有限,扫描速度相对较快,一旦完成对本地网络的扫描,这款恶意软件会停止传播,因此感染力度不及WannaCry。据他推测,NotPetya已经停止散布,另外,WannaCry可被分散部署在少量计算机上,之后迅速传播开来,而Petya似乎在大量计算机上部署。因此,从这种情况来看,攻击爆发后超过1小时出现新感染的风险较低。这款恶意软件关闭计算机,并在执行后1小时对其加密,届时就已经完成了本地网络扫描。

Petya与WannaCry的相似之处

Petya跟WannaCry一样,也通过电子邮件进行传播。

Petya通过伪装成工作应用程序的恶意电子邮件进行分发。该电子邮件附带了一个指向Dropbox文件夹的链接,该文件夹承载了一个恶意的.zip压缩文件,包含一个年轻人的照片(从股票图像网站窃取)和.pdf文件或自解压缩的档案,伪装成个人简历。

如果受害者打开文件,Windows会询问他们是否允许文件更改其计算机。受害者可以授权恶意软件的唯一方法是拥有计算机的管理权限,因此如果企业员工的工作电脑被IT部门阻止更改计算机权限的话,则勒索软件无法运行。

如果受害者授权勒索软件更改其计算机,则Petya立即导致计算机崩溃并显示蓝屏死亡。在启动蓝屏死机之前,恶意可执行文件会覆盖受害者磁盘的开头,并对其所有数据进行复制加密。

Petya在加密过程中使用AES-128和RSA-2048双加密模式,这是大多数顶级勒索软件家族采用的加密模式,这就是意味着推出解密器的可能性很小。

专家正在研究防止Petya感染的措施

幸运的是,Cybereason安全研究人员阿密特·谢珀尔发现一种方法,阻止Petya/NotPetya第一时间“扎根”。用户可以参考以下截图步骤关机,阻止Petya加密文件。

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

如何防止Petya感染

为了防止被NotPetya/Petya/Petna感染,建议用户在C:\Windows 文件夹下创建perfc文件,并设置为只读模式。

对于那些计算机体验很少的人,可以轻松的根据以下步骤尽可能做到防护。

首先,配置Windows以显示文件扩展名,只需确保隐藏已知文件类型的扩展名的文件夹选项设置未选中,如下所示。

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

一旦您启用了“始终启用扩展程序查看”功能,打开C:\ Windows文件夹。 文件夹打开后,向下滚动,直到看到notepad.exe程序。

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

左键单击notepad.exe程序,然后按Ctrl + C复制,再按Ctrl + V将其粘贴。 此时会弹出提示,要求您授予复制该文件的权限。

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

点击继续,文件将创建为记事本——Copy.exe。 左键单击此文件,然后按键盘上的F2键,之后将Copy.exe文件重命名perfcas,如下所示:

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

将文件名更改为perfc后,再按键盘上的Enter键,此时会弹出一个提示,询问您是否确定要将其重命名。

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

选择“是”, Windows将再次要求重新命名该文件夹中的文件的权限,点击继续。

现在,perfc文件已创建,我们需要使其成为只读,右键单击该文件,选择“属性”,如下所示:

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

该文件的属性菜单现在将打开。 底部将是一个标记为只读的复选框。 在其中放置一个复选标记,如下图所示:

Petya勒索软件通过乌克兰被感染的会计软件爆发-E安全

现在点击应用按钮,然后点击确定按钮。 属性窗口应该关闭,您的计算机现在已可以免疫NotPetya / SortaPetya / Petya Ransomware。

想要一键解决,可以参考: http://t.cn/Rol5iyp

E安全注:本文系E安全独家报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。