和 WannaCry 同一個漏洞!勒索病毒「Petya」變種再爆災情

目前正有一波大規模的 Petya 勒索病毒變種四處肆虐當中,尤其以歐洲最為嚴重。
評論
▲系統重新開機之後所顯示的磁碟檢查畫面與勒索訊息,photo credit: 趨勢科技
▲系統重新開機之後所顯示的磁碟檢查畫面與勒索訊息,photo credit: 趨勢科技
評論
 
▲勒索訊息畫面,photo credit: 趨勢科技

以下資訊來源為趨勢科技新聞稿及 官方部落格

目前正有一波大規模的 Petya 勒索病毒變種四處肆虐當中, 尤其以歐洲最為嚴重 。針對昨日晚間開始橫掃全歐洲的勒索病毒 Petya,趨勢科技 提出最新觀察,相比上個月造成全球大恐慌的 WannaCry 勒索病毒,Petya 散播的管道主要有兩種:

其一為同樣利用透過微軟的安全性弱點 MS17-010 – Eternalblue 針對企業及消費者進行勒索攻擊,而與上次 WannaCry 不同的是,本次 Petya 入侵電腦後,會修改電腦硬碟中的主要開機磁區 (Master Boot Record, MBR) 設定,並建立排程工作於一小時內重新開機,一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗,無法進行其他操作。

另一個值得注意的攻擊管道為其駭客利用微軟官方的  PsExec 遠端執行工具,以 APT ( 目標式 ) 攻擊手法入侵企業,一旦入侵成功,將可潛伏於企業內部網路中並感染控制企業內部重要伺服器,進一步發動勒索病毒攻擊,對企業內部機密資料進行加密勒索,以達到牟利之目的。

趨勢科技已將此變種命名為 RANSOM_PETYA.SMA,並建議一般使用者和企業機構應採取以下三個防範措施來避免感染:

  1. 套用 MS17-010 修補更新
  2. 停用 TCP 連接埠 445
  3. 嚴格管制擁有系統管理權限的使用者群組

此外,趨勢科技 XGen™ 防護當中的預測式機器學習以及其他勒索病毒相關防護功能,目前已可防止這項威脅並保護客戶安全。我們將繼續深入分析這項威脅,一有最新情況就會立即更新訊息。

感染過程

前面提到,該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。並且還會搭配 EternalBlue 這個之前 WannaCry(想哭) 勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統,就會利用 rundll32.exe 來執行其程式碼。其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat」的檔案內。

接下來,勒索病毒會新增一個排程工作,讓系統至少在一個小時之後就會重新啟動,並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。一開始,病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面,但其實就是病毒程式。有別於一般勒索病毒的作法,該病毒並不會修改被加密檔案的副檔名。它可加密的檔案類型超過 60 多種,但其主要目標為企業環境常用的檔案,至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。


▲感染過程示意圖,photo credit: 趨勢科技

勒索訊息當中的電子郵件地址早已停用,很可能付了錢之後就會沒有下文

除了同樣使用 EternalBlue 漏洞攻擊套件之外,該病毒與 WannaCry 病毒還有其他類似之處。此 Petya 變種的勒索程序相對簡單,同樣也是使用寫死的比特幣收款位址,因此駭客需花費較多的手動作業來提供解密金鑰。反觀之前的 Petya 變種在付款流程畫面設計上較為成熟。歹徒勒索的贖金是每位使用者 300 美元。截至目前為止,該比特幣位址大約已收到 7,500 美元款項。如同其他勒索病毒一樣,我們建議受害者慎重考慮是否支付贖金,尤其是這個勒索病毒,因為其勒索訊息當中的電子郵件地址 早已停用 ,所以很可能付了錢之後就會沒有下文。

如需更多有關趨勢科技解決方案的資訊,請 參閱趨勢科技網站

以下是此威脅相關的 SHA256 雜湊碼:

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

延伸閱讀:


精選熱門好工作

Full-stack (Frontend most) Senior Software Engineer

ShopBack 回饋網股份有限公司
臺北市.台灣

獎勵 NT$15,000

行銷協理

數字銀河股份有限公司
臺北市.台灣

獎勵 NT$15,000

客服督導/客服主管

VeryBuy非常勸敗
臺北市.台灣

獎勵 NT$15,000

評論