全新勒索病毒更暴虐！國內(nèi)已經(jīng)有人中招

6月27日晚間，歐洲遭到新一輪的未知病毒的沖擊，該病毒傳播方式與本年5月發(fā)作的WannaCry病毒非常相似。

目前，受影響最嚴重的國家是烏克蘭，并且已經(jīng)有國內(nèi)企業(yè)中招。

此外，俄羅斯（俄羅斯石油公司Rosneft）、西班牙、法國、英國（全球最大廣告公司W(wǎng)PP）、丹麥（航運巨頭APMoller-Maersk）、印度、美國（律師事務所DLAPiper）也受到差別程度的影響。

此前，國內(nèi)的安適公司已確認該勒索病毒為Petya的變種，傳播方式與WannaCry類似，利用EternalBlue（永恒之藍）和OFFICEOLE機制漏洞（CVE-2017-0199）進行傳播。

不過，卡巴斯基實驗室的分析人員體現(xiàn)，這種最新的威脅并不是之前報道中所稱的是一種Petya勒索軟件的變種，而是一種之前從未見過的全新勒索軟件。

盡管這種勒索軟件同Petya在字符串上有所相似，但功能卻完全差別，并將其命名為ExPetr。

傳播方式

360首席安適工程師鄭文彬稱，此次最新發(fā)作的病毒具備了全自動化的攻擊能力，即使電腦打齊補丁，也可能被內(nèi)網(wǎng)其他機器滲透感染。

按照360的威脅情報，有用戶收到帶有附件名為“Order-20061017.doc”的郵件，該郵件附件為使用CVE-2017-0199漏洞的惡意文件，漏洞觸發(fā)后從“”下載惡意程序執(zhí)行。

外部威脅情報顯示，該勒索軟件就是由此惡意程序最早傳播。

據(jù)分析，病毒作者很可能入侵了烏克蘭的專用會計軟件me-doc，來進行最開始的傳播。他們將病毒程序偽裝成me-doc的升級程序給其用戶下發(fā)。

由于這是烏克蘭官方要求的報稅軟件，因此烏克蘭的大量基礎(chǔ)設(shè)施、政府、銀行、大型企業(yè)都受到攻擊，其他國家同烏克蘭有關(guān)聯(lián)的投資者和企業(yè)也收到攻擊，這展示了此次勒索病毒變種的一個針對性特征，針對有報稅需求的企業(yè)單位進行攻擊也符合勒索病毒的牟利特點。

按照360安適中心監(jiān)測，此次國內(nèi)出現(xiàn)的勒索病毒新變種主要攻擊途徑是內(nèi)網(wǎng)滲透，也就是利用“辦理員共享”功能攻擊內(nèi)網(wǎng)其他機器，比擬已經(jīng)被廣泛重視的“永恒之藍”漏洞更具殺傷力。

技術(shù)原理

據(jù)阿里云安適專家介紹，勒索病毒通過Windows漏洞進行傳播，同時會感染局域網(wǎng)中的其它電腦。電腦感染勒索病毒后，會被加密特定類型文件，導致電腦無法正常運行。而這種勒索病毒在內(nèi)網(wǎng)系統(tǒng)中，主要通過主要通過Windows辦理體系結(jié)構(gòu)（Microsoft Windows Management Instrumentation），和PSEXEC（SMB協(xié)議）進行擴散。

該病毒會加密磁盤主引導記錄（MBR），導致系統(tǒng)被鎖死無法正常啟動，然后在電腦屏幕上顯示勒索提示。如果未能成功破壞MBR，病毒會進一步加密文檔、視頻等磁盤文件。

阿里云在對病毒樣本進行研究后發(fā)現(xiàn)，操作系統(tǒng)被感染后，重新啟動時會造成無法進入系統(tǒng)。下圖顯示的就是病毒偽裝的磁盤掃描程序。

而該病毒對勒索對象的加密，可以分為以下7個步驟：

按照安天方面的消息，該病毒的勒索模塊實際上是一個DLL文件，該文件被加載后遍歷用戶磁盤文件（除C:\Windows目錄下），并對指定后綴名的文件進行加密，加密后不修改原文件名和擴展名。

該文件修改MBR，同時，添加計劃任務，在等待一段時間后，關(guān)閉計算機。當用戶開啟計算機時，會顯示勒索界面和信息并無法進入系統(tǒng)。

與Wannacry的差異

據(jù)雷鋒網(wǎng)宅客頻道了解，這次的新型勒索病毒變種，是利用系列漏洞進行傳播的新勒索病毒家族。與5月發(fā)作的WannaCry比擬，新型勒索病毒變種的傳播速度更快。此次勒索病毒的主要特點有：

該勒索病毒使用了多種方式在內(nèi)網(wǎng)進行攻擊傳播，包孕使用了NSA的兵器庫中的永恒之藍、永恒浪漫系列遠程攻擊兵器，以及利用內(nèi)網(wǎng)共享的方式傳播。

因此不但沒有及時修復NSA兵器庫漏洞的用戶會受影響，只要內(nèi)網(wǎng)中有其他用戶受到攻擊，已經(jīng)打了補丁的電腦也可能會受到攻擊。

此次的勒索病毒會導致電腦不成用。此前的WannaCry病毒僅會加密用戶文件，但是用戶的電腦仍暫時可用，而此次的勒索病毒會感染用戶電腦的引導區(qū)，，導致用戶電腦無法正常開機（強制顯示勒索信息）。

此外，該勒索病毒加密的文件類型比擬WannaCry少，一共有65種，而WannaCry為178種（包孕常見文件類型）。

解決方案

目前，網(wǎng)絡(luò)辦理員可通過，監(jiān)測相關(guān)域名/IP，攔截病毒下載，統(tǒng)計內(nèi)網(wǎng)感染分布：

84.200.16.242

111.90.139.247

185.165.29.78

111.90.139.247

95.141.115.108

COFFEINOFFICE.XYZ

french-cooking.com

此外，還可以通過如下關(guān)鍵HASH排查內(nèi)網(wǎng)感染情況：

415fe69bf32634ca98fa07633f4118e1

0487382a4daf8eb9660f1c67e30f8b25

a1d5895f85751dfe67d19cccb51b051a

71b6a493388e7d0b40c83ce903bc6b04

目前，包孕360、騰訊、阿里云、安天、金山毒霸在內(nèi)的各大安適廠商已經(jīng)推出了初步的解決方案。

以下是針對受害者的初步建議：

－ 目前勒索者使用的郵箱已經(jīng)停止拜候，不建議支付贖金。

－ 所有在IDC托管或自建機房有辦事器的企業(yè)，如果采用了Windows操作系統(tǒng)，立即安置微軟補丁。

－ 安適補丁對個人用戶來說相對簡單。只需自學裝載，就能完成。

－ 對大型企業(yè)或組織機構(gòu)，面對成百上千臺機器，最好還是能使用客戶端進行集中辦理。

－ 可靠的數(shù)據(jù)備份可以將勒索軟件帶來的損失最小化。