之前，一波大規(guī)模勒索蠕蟲(chóng)病毒攻擊重新席卷全球。

媒體報(bào)道，歐洲、俄羅斯等多國(guó)政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、企業(yè)以及機(jī)場(chǎng)都不同程度的受到了影響。

阿里云安全團(tuán)隊(duì)第一時(shí)間拿到病毒樣本，并進(jìn)行了分析：

這是一種新型勒索蠕蟲(chóng)病毒。電腦、服務(wù)器感染這種病毒后會(huì)被加密特定類型文件，導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行。

目前，該勒索蠕蟲(chóng)通過(guò)Windows漏洞進(jìn)行傳播，一臺(tái)中招可能就會(huì)感染局域網(wǎng)內(nèi)其它電腦。

一、Petya與WannaCry病毒的對(duì)比

1、加密目標(biāo)文件類型

Petya加密的文件類型相比WannaCry少。 

Petya加密的文件類型一共65種，WannaCry為178種，不過(guò)已經(jīng)包括了常見(jiàn)文件類型。

2、支付贖金

Petya需要支付300美金，WannaCry需要支付600美金。

二、云用戶是否受影響？

截止發(fā)稿，云上暫時(shí)未發(fā)現(xiàn)受影響用戶。

6月28日凌晨，阿里云對(duì)外發(fā)布了公告預(yù)警。

三、勒索病毒傳播方式分析

Petya勒索蠕蟲(chóng)通過(guò)Windows漏洞進(jìn)行傳播，同時(shí)會(huì)感染局域網(wǎng)中的其它電腦。電腦感染Petya勒索病毒后，會(huì)被加密特定類型文件，導(dǎo)致電腦無(wú)法正常運(yùn)行。

阿里云安全專家研究發(fā)現(xiàn)，Petya勒索病毒在內(nèi)網(wǎng)系統(tǒng)中，主要通過(guò)Windows的協(xié)議進(jìn)行橫向移動(dòng)。

主要通過(guò)Windows管理體系結(jié)構(gòu)（Microsoft Windows Management Instrumentation），和PSEXEC（SMB協(xié)議）進(jìn)行擴(kuò)散。

截止到當(dāng)前，黑客的比特幣賬號(hào)(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有3.39 個(gè)比特幣（1比特幣=2459美金），33筆交易，說(shuō)明已經(jīng)有用戶支付了贖金。

四、技術(shù)和加密過(guò)程分析

阿里云安全專家對(duì)Petya樣本進(jìn)行研究后發(fā)現(xiàn)，操作系統(tǒng)被感染后，重新啟動(dòng)時(shí)會(huì)造成無(wú)法進(jìn)入系統(tǒng)。如下圖顯示的為病毒偽裝的磁盤(pán)掃描程序。

Petya病毒對(duì)勒索對(duì)象的加密，分為以下7個(gè)步驟：

首先，函數(shù)sub_10001EEF是加密操作的入口。遍歷所有磁盤(pán)，對(duì)每個(gè)固定磁盤(pán)創(chuàng)建一個(gè)線程執(zhí)行文件遍歷和加密操作，線程參數(shù)是一個(gè)結(jié)構(gòu)體，包含一個(gè)公鑰和磁盤(pán)根路徑。  

然后，在線程函數(shù)（StartAddress）中，先獲取密鑰容器， 

pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"

dwProvType=PROV_RSA_AES Provider為RSA_AES。

調(diào)用sub_10001B4E，通過(guò)CryptGenKey生成AES128密鑰，用于后邊進(jìn)行文件加密。

 如果生成密鑰成功，接著調(diào)用sub_10001973和sub_10001D32，分別是遍歷磁盤(pán)加密文件和保存密鑰的功能。

在sub_10001973函數(shù)中判斷了只對(duì)特定文件后綴加密。  

sub_10001D32函數(shù)功能是將密鑰加密并寫(xiě)入磁盤(pán)根路徑的README.TXT文件中，  

該函數(shù)在開(kāi)始時(shí)調(diào)用了sub_10001BA0獲取一個(gè)程序內(nèi)置的公鑰

 之后，調(diào)用sub_10001C7F導(dǎo)出AES密鑰，在這個(gè)函數(shù)中用前邊的公鑰對(duì)它加密。 

最后，在README.TXT中寫(xiě)了一段提示付款的文字，并且將加密后的密鑰寫(xiě)入其中。

因?yàn)槊荑�經(jīng)過(guò)了程序中內(nèi)置的公鑰加密，被勒索對(duì)象必須要有黑客的私鑰才能解密。這也就造成了勒索加密的不可逆性。

 五、安全建議

目前勒索者使用的郵箱已經(jīng)被關(guān)停，不建議支付贖金。

所有在IDC托管或自建機(jī)房有服務(wù)器的企業(yè)，如果采用了Windows操作系統(tǒng)，立即安裝微軟補(bǔ)丁。

對(duì)大型企業(yè)或組織機(jī)構(gòu)，面對(duì)成百上千臺(tái)機(jī)器，最好還是使用專業(yè)客戶端進(jìn)行集中管理。比如，阿里云的安騎士就提供實(shí)時(shí)預(yù)警、防御、一鍵修復(fù)等功能。

可靠的數(shù)據(jù)備份可以將勒索軟件帶來(lái)的損失最小化。建議啟用阿里云快照功能對(duì)數(shù)據(jù)進(jìn)行備份，并同時(shí)做好安全防護(hù)，避免被感染和損壞。

* 作者：阿里云安全，更多安全類熱點(diǎn)資訊及知識(shí)分享，請(qǐng)持續(xù)關(guān)注阿里聚安全