热搜
您的位置:首页 >> 教育

360QVM团队Petya勒索木马分析及

2019年05月14日 栏目:教育

Petya是近期比较流行的一类勒索木马,该木马会加密系统MBR分区(磁盘主引导区),重启系统之后没有正确的解密key,就没法进入系统。由于M

Petya是近期比较流行的一类勒索木马,该木马会加密系统MBR分区(磁盘主引导区),重启系统之后没有正确的解密key,就没法进入系统。由于MBR分区信息被木马修改了,如果没有按照木马提示支付赎金,硬盘里的数据就会丢失。

鉴于Petya具有较强的破坏性,360QVM团队对Petya勒索木马的变种进行详细分析之后,找到了Petya勒索木马的重要特点,以及在保存有MBR分区信息备份情况下的修复方法。

Petya木马分析

1、伪装成pdf文档,通过\\.\PhysicalDrive0这个路径作为文件打开,并且利用 DeviceIoControl发送控制码获取权限

二、先破坏第1扇区,从扇区全部填充为数字7

3、然后通过操作系统启动所经过的毫秒数系统进程线程等信息通过随机函数生成一组key,每次都生成不同的key,通过ida对加密函数采取的数据进行分析,找到木马采取的不可逆的SHA-512加密算法。

四、然后破坏第0扇区的数据,写入被加密数据。

五、接着生成配置信息,personal decryption code信息,从34扇区到49扇区写入恶意代码

6、调用异常重启电脑,运行木马修改的mbr代码,伪装系统自检,显示勒索画面。

七、运行引导区的恶意代码主要功能有重启系统,伪装系统自检,出现歹意画面,显示敲诈画面,提示中毒,要求输入key,可以多次输入,检查输入的key是否正确,不正确则无法进入系统。

重启系统部分

判断系统类型

假装系统自检

出现恶意画面

提示中毒,要求输入key,可以多次输入。

检查输入的key是不是正确,错误会出现 You became victim of the PETYA RANSOMWARE!提示画面:

手工修复方法

根据该木马的特点,只要备份0扇区的数据,中毒以后恢复0扇区的数据,清除扇区的垃圾数据和34扇区到49扇区写入的恶意代码即可。

木马防护措施

Petya木马传播途径大多来自于盘分享,它假装成解压程序一类的图标,具有较强的欺骗性。不过由于该木马的设计思路是建立在修改MBR的基础上,而对于360安全卫士等具备主动防御功能的安全软件来说,任何可疑程序修改MBR都会被拦截,因此Petya无法感染360用户电脑,广大友对Petya木马没必要过于恐慌,只要注意开启安全软件保护就能避免中招。

痛经小腹胀痛治疗
如何解决经期小腹胀痛
如何治经期小腹胀痛