此次黑客使用的是Petya勒索病毒变种，该变种攻击方式与WannaCry相同，都是利用MS17-010（”永恒之蓝”）漏洞传播，不同于传统勒索软件加密文件的行为，Petya勒索病毒采用磁盘加密方式，通过加密硬盘驱动器主文件表（MFT），使主引导记录（MBR）不可操作，限制对系统的访问。此次黑客勒索金额为300美元比特币。

据国外安全人员分析，Petya勒索病毒变种通过带有DOC文档的垃圾邮件附件进行传播，通过Office CVE-2017-0199漏洞来触发攻击。亚信安全已经截获类似攻击邮件，但在实际测试过程中，并没有完整重现整个攻击过程。

【携带CVE-2017-0199漏洞的垃圾邮件范例】

Petya勒索病毒变种通过PsExec 工具和”永恒之蓝”漏洞在内网进行传播。PsExec工具是微软的实用工具之一，用于在远程系统上运行进程。黑客通常用该工具在内网进行渗透。具体感染流程如下：

• Petya勒索病毒变种通过PsExec 工具和”永恒之蓝”漏洞进入系统；

• 利用rundll32.exe进程自启动；

• 在windows文件夹中生成真正的加密程序perfc.dat（文件名可能会发生变化）；

• 修改主引导记录(MBR)；

• 重启后显示勒索信息。

【Petya勒索病毒变种感染流程】

Petya勒索软件变种通过添加计划任务，设置被感染计算机在一个小时内重新启动。当系统重启时显示虚假的磁盘检查界面，实际上加密程序正在对磁盘进行加密操作。

【虚假的磁盘检查通知】

和其它勒索软件不同的是，Petya勒索软件变种不会修改被加密文件的后缀名。其会加密超过60种不同扩展名的文件，这些扩展名都是企业日常使用的文件类型；而相对于其他勒索病毒热衷的图片和视频文件，Petya勒索病毒变种并不会对其进行加密。

除了利用”永恒之蓝”漏洞外, Petya勒索病毒变种还有一些与WannaCry类似之处，如赎金支付过程相对简单: Petya勒索病毒变种也是使用一个硬编码的比特币地址，与早期的Petya勒索病毒相比较，此次变种的UI界面更友好。

【提示勒索信息】

Petya勒索病毒变种要求每个受害者需要支付相当于300美元的比特币。截至目前，大约7500美元已支付到上述比特币地址。但是，勒索信息中提及的电子邮件地址，目前已经停止访问，我们建议用户不要支付赎金。

【勒索信息中提及的邮件地址已经停止访问】

Petya巧妙地使用合法的Windows进程Psexec和Windows管理信息的命令行(WMIC)，WMIC扩展WMI（Windows Management Instrumentation，Windows管理工具），提供了从命令行接口和批命令脚本执行系统管理的支持。

Petya将会在目标机器上生成dllhost.dat（该文件就是psexec.exe）文件，其会在\\{remote machine name}\admin$\{malware filename}目录下生成自身拷贝文件。然后其使用dllhost.dat执行生成的自身拷贝文件，使用参数如下：

{enumeratedcredentials}格式如下：

如果不成功，Petya将会使用WMIC.EXE去执行远程机器中的文件：

如果Petya变种使用Psexec或WMIC在内网传播失败，其会利用“永恒之蓝”漏洞传播。

我们通过深入研究发现petya变种采用更高级的方法从受感染的系统中提取信息。其使用一个定制的合法安全工具mimikatz来提取用户名和密码。32位和64位Mimikatz可执行文件被加密并存储在勒索病毒的资源部分。信息提取方法是病毒主进程打开一个管道，由定制化的Mimikatz写入提取的用户名和密码信息，这些写入的信息再由主进程读取出来。Petya利用提取到的信息在内网程爆发式大面积传播。

加密前，MBR会先被修改。首先将代码 (0xBAADF00D)写入卷引导记录(VBR)，从而导致系统无法启动。接下来其会修改如下扇区：

如果上述修改扇区方法失败，Petey变种会用代码0xBAADF00D）覆盖0-9扇区。

• 不要轻易点击来源不明附件，尤其是rtf、doc等格式。

• 及时更新Windows系统及Office补丁程序。

• 利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）。

• 停止服务器的WMI服务。

亚信安全最新病毒码版本（13.500.60），云病毒码版本（13.500.71）已经包含此病毒检测，2017年6月28日已经发布，请用户及时升级病毒码版本。

针对”永恒之蓝”漏洞解决方案：

亚信安全DeepSecurity和TDA 已经于5月2号发布规则能够抵御该勒索病毒在内网的传播：

TDA：2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)

Deep Security：1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

亚信安全DeepEdge在4月26日已发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则（规则名称：微软MS17 010 SMB远程代码执行1-4，规则号:1133635,1133636,1133637,1133638）

针对Office CVE-2017-0199漏洞解决方案：

亚信安全DeepSecurity 和TDA 已经于4月13日发布规则，拦截该漏洞：

1008285- Microsoft Word Remote Code Execution Vulnerability (CVE-2017-0199)

1008295 - RestrictMicrosoft Word RTF File With Embedded OLE2link Objec

1008297- IdentifiedSuspicious RTF File With Obfuscated Powershell Execution (CVE-2017-0199)

TDA  Rule 18 : DNS response of a queried malwareCommand and Control domain

亚信安全WRS已经可以拦截上述恶意文档相关C&C服务器及恶意链接。

Petya勒索病毒变种大面积爆发，国内外安全公司，媒体等报道铺天盖地而来，免疫方案，解决措施，技术细节接踵而来，令大家眼花缭乱，亚信安全集中整理了大众比较关注的问题，基于我们已有的样本进行分析测试得到的结果，为大家提供Q&A。

Q: Petya勒索病毒变种有免疫“疫苗”吗？是否真的可以免疫？

A:免疫“疫苗”是基于代码分析得来的，取决于运行的文件名，Petya变种会检查windows目录中是否存在自身拷贝文件perfc，大部分报道称在windows目录中建立同名文件perfc，并设置为只读属性，就可以免疫，但是在实际测试中，即便建立了免疫“疫苗”，Petya仍然会加密磁盘。

但也不排除免疫“疫苗”对其他Petya样本起作用。

Q: 被Petya加密的文件是否可以解密？

A:  该勒索病毒使用MS CryptoAPI生成16字节的密钥来加密文件。解密密钥并非存储在本地。所以被加密的文件很难被解密。

Q: 感染Petya后，能否恢复MBR?

A：目前我们获得的样本中，有两类Petya变种，一种是加密后计算机直接被强制重启，在重启时， MFT被加密，对于此种类型，我们无法解密MFT，用户也无法进入系统。另外一种是，病毒建立了计划任务一小时内重启，在系统重启之前是可以恢复MBR的，也就是说我们仅仅有1小时的时间来清除被感染电脑上的Petya勒索病毒变种。

Q:Petya与WannyCry有何区别吗？

A:  Petya和WannyCry都是利用”永恒之蓝”漏洞传播，Petya比WannyCry更复杂，传播和破坏性更强。具体的参看如下表格：

【Petya与WannaCry对照表】

亚信安全持续关注该事件发展，并第一时间更新事件进展信息。

行业热点：

亚信安全成功抵御全球第一只勒索蠕虫WannaCry！

亚信安全：WannaCry永恒之蓝病毒处理方案

全球2.5亿计算机已沦陷，这个病毒请当心！

“永恒之蓝”再起波澜？Linux版挖矿蠕虫来袭！