资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

详解让乌克兰总理都“哭泣”的勒索病毒,你到底要不要怕 | 雷峰网-米乐m6平台

2017/06/28 11:29

北京时间 6 月 27 日晚间,欧洲遭到新一轮的未知病毒的冲击,该病毒传播方式与今年 5 月爆发的 wannacry 病毒非常相似。

据雷锋网宅客频道了解,受影响最严重的国家是乌克兰,而且已经有国内企业中招。此外,俄罗斯(俄罗斯石油公司 rosneft)、西班牙、法国、英国(全球最大广告公司 wpp )、丹麦(航运巨头 ap moller-maersk)、印度、美国(律师事务所 dla piper)也受到不同程度的影响。

此前,国内的安全公司已确认该勒索病毒为 petya 的变种,传播方式与 wannacry 类似,利用 eternalblue(永恒之蓝)和 office ole 机制漏洞(cve-2017-0199)进行传播。

不过,卡巴斯基实验室的分析人员表示,这种最新的威胁并不是之前报道中所称的是一种 petya 勒索软件的变种,而是一种之前从未见过的全新勒索软件。尽管这种勒索软件同 petya 在字符串上有所相似,但功能却完全不同,并将其命名为 expetr 。

传播方式

360 首席安全工程师郑文彬称,此次最新爆发的病毒具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染。

根据 360 的威胁情报,有用户收到带有附件名为:“order-20061017.doc“的邮件,该邮件附件为使用 cve-2017-0199 漏洞的恶意文件,漏洞触发后从“http ://french-cooking.com/myguy.exe”下载恶意程序执行。外部威胁情报显示,该勒索软件就是由此恶意程序最早传播。

据分析,病毒作者很可能入侵了乌克兰的专用会计软件 me-doc,来进行最开始的传播。他们将病毒程序伪装成 me-doc 的升级程序给其用户下发。

由于这是乌克兰官方要求的报税软件,因此乌克兰的大量基础设施、政府、银行、大型企业都受到攻击,其他国家同乌克兰有关联的投资者和企业也收到攻击,这展示了此次勒索病毒变种的一个针对性特征,针对有报税需求的企业单位进行攻击也符合勒索病毒的牟利特点。

根据 360 安全中心监测,此次国内出现的勒索病毒新变种主要攻击途径是内网渗透,也就是利用“管理员共享”功能攻击内网其他机器,相比已经被广泛重视的“永恒之蓝”漏洞更具杀伤力。

技术原理

据阿里云安全专家介绍,勒索病毒通过 windows 漏洞进行传播,同时会感染局域网中的其它电脑。电脑感染勒索病毒后,会被加密特定类型文件,导致电脑无法正常运行。而这种勒索病毒在内网系统中,主要通过主要通过 windows 管理体系结构(microsoft windows management instrumentation),和 psexec(smb 协议)进行扩散。

该病毒会加密磁盘主引导记录(mbr),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。如果未能成功破坏 mbr,病毒会进一步加密文档、视频等磁盘文件。

阿里云在对病毒样本进行研究后发现,操作系统被感染后,重新启动时会造成无法进入系统。下图显示的就是病毒伪装的磁盘扫描程序。

而该病毒对勒索对象的加密,可以分为以下 7 个步骤:

根据安天方面的消息,该病毒的勒索模块实际上是一个 dll 文件,该文件被加载后遍历用户磁盘文件(除 c:\windows 目录下),并对指定后缀名的文件进行加密,加密后不修改原文件名和扩展名。该文件修改 mbr,同时,添加计划任务,在等待一段时间后,关闭计算机。当用户开启计算机时,会显示勒索界面和信息并无法进入系统。

与 wannacry 的差异

据雷锋网宅客频道了解,这次的新型勒索病毒变种,是利用系列漏洞进行传播的新勒索病毒家族。与 5 月爆发的 wannacry 相比,新型勒索病毒变种的传播速度更快。此次勒索病毒的主要特点有: 

米乐m6平台的解决方案

目前,网络管理员可通过监测相关域名/ip,拦截病毒下载,统计内网感染分布:

84.200.16.242
111.90.139.247
185.165.29.78
111.90.139.247
95.141.115.108
coffeinoffice.xyz
french-cooking.com

此外,还可以通过如下关键 hash 排查内网感染情况:

415fe69bf32634ca98fa07633f4118e1
0487382a4daf8eb9660f1c67e30f8b25
a1d5895f85751dfe67d19cccb51b051a
71b6a493388e7d0b40c83ce903bc6b04

目前,包括 360、腾讯、阿里云、安天在内的各大安全厂商已经推出了初步的米乐m6平台的解决方案,详见雷锋网文章《》。

以下是针对受害者的初步建议:

长按图片保存图片,分享给好友或朋友圈

详解让乌克兰总理都“哭泣”的勒索病毒,你到底要不要怕

扫码查看文章
米乐m6平台

正在生成分享图...

取消
相关文章
网站地图