如何看待席卷歐洲的Petya電腦勒索病毒？

近日，歐洲多個(gè)國(guó)家遭受Petya勒索病毒的攻擊，這是近期全球范圍內(nèi)第二波大規(guī)模的勒索病毒爆發(fā)。該病毒遠(yuǎn)程加密電腦的磁盤，然后索要贖金。目前，烏克蘭、法國(guó)、英國(guó)、俄羅斯等國(guó)都遭受該勒索病毒的攻擊。

北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院蘆效峰副教授帶領(lǐng)的惡意軟件分析實(shí)驗(yàn)室也取得了Petya病毒的樣本，并在實(shí)驗(yàn)室自主研發(fā)的“智能惡意軟件檢測(cè)平臺(tái)”上進(jìn)行了實(shí)測(cè)，并和之前的勒索軟件WannaCry進(jìn)行了對(duì)比分析，發(fā)現(xiàn)了Petya的惡意軟件行為特征。

1.從病毒樣本直觀比較上看

WanaCry是一個(gè)3.4MB左右的.exe文件，而Petya為一個(gè)大小僅為353.9KB的.dll文件。這意味著Petya不能直接啟動(dòng)，必須通過其他程序調(diào)用。這和一些報(bào)道中指出的烏克蘭專家稱Petya病毒是通過電子郵件侵入電腦系統(tǒng)，郵件含有遭到病毒感染的Word和PDF格式附件相一致。這也提醒我們不要隨便打開電子郵件中的可疑附件。

2. 從加密技術(shù)上看，Petya與WannaCry勒索軟件顯著不同

WanaCry獲取所有文件的路徑，然后逐個(gè)文件進(jìn)行加密，再生成新文件同時(shí)刪除舊文件，從而進(jìn)行勒索。Petya的敲詐信息顯示其加密了整個(gè)磁盤，但這只是Peyta開發(fā)者使得障眼法。

WannaCry勒索病毒會(huì)對(duì)磁盤上的大量文件進(jìn)行加密保存并刪除原文件，那么我們就可以單從NtCreateFile、DeleteFile 、MoveFileWithProgress這三項(xiàng)API調(diào)用的數(shù)量的上來判斷樣本是否存在類似惡意行為。例如，WannaCry在沙箱中指定2分鐘運(yùn)行期間總共被記錄了150079次API調(diào)用，其中NtCreateFile占了7.0%，DeleteFile占了4.8%。

Petya的行為方式則不一樣，老Petya樣本加密硬盤驅(qū)動(dòng)器主文件表（MFT），使主引導(dǎo)記錄（MBR）不可操作，通過讓電腦無(wú)法啟動(dòng)實(shí)現(xiàn)勒索，磁盤中存儲(chǔ)的文件并沒有真正被加密。而新Petya 寫入自己的MBR，設(shè)置計(jì)劃任務(wù)進(jìn)行重啟，并利用永恒之藍(lán)漏洞進(jìn)行傳播。

從上圖可以發(fā)現(xiàn)，Petya樣本使用NtCreateFile打開了在磁盤，然后使用SetFilePointEx設(shè)置了當(dāng)前寫入位置即文件指針的偏移量，接著用NtWriteFile開始寫入其自定義的MBR。從寫入的buffer內(nèi)容來看，在這里Petya寫入了假CHKDSK的信息以及勒索信息。當(dāng)系統(tǒng)重啟后，執(zhí)行病毒的MBR，偽裝成CHKDSK進(jìn)行修復(fù)磁盤，這一步的時(shí)候其實(shí)磁盤上的文件并未完全被加密。

3. 具有反沙箱檢測(cè)

作為反沙箱的手段，惡意樣本對(duì)VirtualBox的文件以及設(shè)備進(jìn)行了檢測(cè)。逃避沙箱檢測(cè)是惡意件或病毒的一個(gè)顯著特點(diǎn)。

4. 強(qiáng)制設(shè)置計(jì)劃任務(wù)進(jìn)行重啟

通過命令行，調(diào)用系統(tǒng)的schtasks來設(shè)置計(jì)劃任務(wù)，在1個(gè)小時(shí)51分后重啟計(jì)算機(jī)。Shutdown的-f 是強(qiáng)制運(yùn)行要關(guān)閉的應(yīng)用程序，-r 是關(guān)閉之后重新啟動(dòng)，-t則設(shè)置關(guān)機(jī)倒計(jì)時(shí)。而正常軟件一般是經(jīng)用戶確認(rèn)后重啟。

5. 從磁盤中刪除二進(jìn)制文件

惡意樣本在磁盤中釋放了一個(gè)二進(jìn)制文件，而在執(zhí)行之后就將其刪除。該操作可以視為惡意軟件自身保護(hù)行為。

6. 固定字符串分析

我們對(duì)Petya做了固定字符串分析，分析顯示其包含了一些極度具有勒索性質(zhì)的文字內(nèi)容，如“your important files are encrypted”，“All you need to do is submit the payment and purchase the decryption key”,”Send $300 worth of Bitcoin to following address”等。通過檢測(cè)這些敏感的字符串，可以快速發(fā)現(xiàn)和識(shí)別類似的勒索軟件。

7. 網(wǎng)絡(luò)行為分析

為了感染其他電腦，Petya根據(jù)本機(jī)的IP地址及所在子網(wǎng)，通過ARP協(xié)議查詢局域網(wǎng)內(nèi)主機(jī)。

和WannaCry類似，Petya利用了之前WannaCry利用的永恒之藍(lán)（MS17-010）漏洞，通過445端口進(jìn)行傳播。下圖顯示了感染Petya病毒的電腦訪問響應(yīng)ARP主機(jī)的445端口(SMB)。

病毒嘗試連接無(wú)響應(yīng)的IP地址及端口。如上文中網(wǎng)絡(luò)分析所示，樣本嘗試訪問了192.168.56.1的445端口，而該端口并無(wú)響應(yīng)，說明樣本存在端口掃描行為。

是否付費(fèi)就可以恢復(fù)文件？

根據(jù)報(bào)道，目前為止，超過40名受害者向Petya的作者支付了超過1萬(wàn)美元的贖金，但其實(shí)他們無(wú)法恢復(fù)文件。有分析說，Petya可能沒有想象中的那么簡(jiǎn)單，很可能是用于政治目的的網(wǎng)絡(luò)武器。

安全措施

1. 升級(jí)系統(tǒng)補(bǔ)丁到最新，修復(fù)永恒之藍(lán)(ms17-010）漏洞。

2. 及時(shí)更新終端殺毒軟件。

3. 對(duì)于未知郵件中的鏈接或附件不要打開，

4. 不要隨意從網(wǎng)絡(luò)下載可執(zhí)行程序并直接運(yùn)行。

5. 在非業(yè)務(wù)所需的機(jī)器上，可以禁止WMI服務(wù)和遠(yuǎn)程文件共享功能。

6. 通過專業(yè)的磁盤管理軟件，如RestoreMBR提前備份磁盤的主引導(dǎo)記錄MBR文件，用戶如果發(fā)現(xiàn)系統(tǒng)異常重啟，可以立即關(guān)機(jī)，隨后開機(jī)在BIOS里設(shè)置U盤或光盤啟動(dòng)系統(tǒng)，然后使用Windows PE啟動(dòng)系統(tǒng)，再使用專用的磁盤管理軟件恢復(fù)之前備份的MBR文件。如果之前沒有備份MBR文件，則可以用該方法拷貝出硬盤里的數(shù)據(jù)，可以避免文件的損失。