Created: 2017-09-06 00:00:00

Petya最新變種須知

 

 

最近發生的全球網路攻擊，ESET將其檢測為Win32/Diskcoder.C，而這再次凸顯出過時的系統和不足的安全解決方案仍然普遍存在。

 

此次攻擊所造成的損失方面存在著許多疑問，ESET資安專家在這裡為您解答。

 

該病毒的特點是什麼？

 

是否與WannaCryptor具有同樣強的破壞力？

兩者感染後的後果相同，使用者無法讀取系統中存儲的資料。但Diskcoder.C不僅僅加密漏洞電腦上的檔案，更在系統重啟後，使作業系統無法載入，迫使受害者重新安裝系統。

 

與WannaCryptor傳播方式相同嗎？

部分相同，但不盡然。雖然兩者都利用了美國國家安全局的漏洞入侵工具-永恆之藍，但Win32/Diskcoder.C還利用了其他傳播技術，通過濫用Microsoft Windows所供Sysinternals工具包中的PsExec等合法工具，以及Windows Management Instrumentation Command-line （WMIC）進行傳播；後者是為運行Windows作業系統的本地或遠端電腦提供的一種資料和功能管理資源。

 

與Mischa和Petya有何類似之處？

將這三種惡意程式家族歸為一類的主要原因，是因為它們除了加密作業系統之中的檔案資料外，還會通過加密MBR的方式，使作業系統無法運行。除這共通性以外，它們之間再沒多少相同之處，所採用的技術和處理機制各有不同。

 

 

該病毒的具體工作原理是什麼？

惡意程式運行後，首先會建立在特定時間之後重啟電腦的排程任務，通常不超過60分鐘。

 

 

此外，該病毒還會查看是否存在可以複製自身到共用資料夾或隱藏磁碟區。如果存在，則會利用WMIC在遠端設備上運行惡意程式。

 

 

接著，該病毒開始加密含有特定副檔名的檔案。需要強調的是，Win32/Diskcoder.C與多數勒索病毒不同，不會在加密每個檔後修改或添加特定副檔名；後者是攻擊者廣泛運用、區別染毒檔的方式之一。

 

下圖中，可以看到病毒試圖加密的檔案的副檔名：

 

 

此外，該病毒還試圖刪除事件日誌、不留下任何線索，並隱藏其行為。使用上述技巧執行命令列的畫面，如下圖所示：

 

 

如何傳播？

如上所述，傳播技術是該病毒的主要特徵。一旦成功感染電腦後，病毒會嘗試提取使用者帳戶和密碼，並配合PsExec和WMIC搜索共用資料夾和隱藏磁碟區，然後在通過電腦網路傳播。借助這種方式，便可感染位於其他國家和海外地區的電腦。

 

多數情況下，跨國公司團隊在通過同一網路連接位於歐洲或亞洲的其他分公司時，便會受到病毒感染。病毒的傳播機制與蠕蟲相同。

 

如何防範這一病毒？請參考以下五個建議：

 

 

已染毒且無法訪問系統，怎麼辦？

可借助取證技術，嘗試在記憶體中運行另一作業系統，以讀取已加密檔。但除了恢復備份，可以避免重裝作業系統外，再沒有其他更好的解決途徑。

對於此病毒，繳交贖金是沒有任何意義的，ESET近期所作的TeleBots調查結果顯示，攻擊背後的疑似駭客團隊表示，Win32/Diskcoder.C並非常規意義上的勒索病毒。

雖然該病毒加密檔並索要300美元解密贖金，但攻擊者實際想要的效果 – 也正是他們的主要目標 – 就是造成損失。因此，他們竭盡全力，使資料幾乎不可能解密。

此外，該病毒還能夠運用自身惡意程式碼，修改MBR。但這種操作方式本身，使主引導記錄根本無法恢復。攻擊者根本無法提供解密金鑰，同時解密金鑰也無法輸入到勒索介面之中，因為所生成的密碼含有非法字元。

 

缺乏安全意識、公司教育訓練不足和相關網路安全技能缺乏，是造成檔案被勒索的主要原因之一。不幸的是，許多職員仍未意識到網路攻擊對公司經營帶來的潛在危害，直到淪為受害者、被勒索支付贖金，而此時也為時已晚。由於網路罪犯遇到的防禦水準較低，因此他們更有動力持續利用薄弱環節，開發出新的勒索病毒並成功執行攻擊，造成用戶損失。因此擁有資安危機意識是很重要的，預防措施永遠更勝於後續補救，ESET資安產品及企業解決方案能主動偵測已知(如WannaCryptor、Petya)、未知病毒及勒索軟體，抵禦網路攻擊或資安威脅，協助您打造良好的資安環境。

 

原文出處: https://www.welivesecurity.com/2017/07/06/everything-need-know-latest-variant-petya/