最全揭秘｜新勒索病毒Petya席捲全球始末真相及防護措施（圖）

在WannaCry勒索病毒爆發一個多月之後，另一起網絡勒索病毒Petya正席捲全球。

新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦，歐洲國家已成重災區，多國運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。

新一輪勒索病毒Petya變種正席捲全球

一、影響全球多個國家

據360安全中心監測，與5月爆發的Wannacry相比，Petya勒索病毒變種的傳播速度更快。

它不僅使用了NSA「永恆之藍」等黑客武器攻擊系統漏洞，還會利用「管理員共享」功能在內網自動滲透。

歐洲國家已成重災區，新病毒變種的傳播速度達到每10分鐘感染5000餘台電腦，多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷，甚至烏克蘭副總理的電腦也遭到感染。

俄羅斯石油公司Rosneft，丹麥航運巨頭AP Moller-Maersk，俄羅斯金屬製造商Evraz，烏克蘭國家銀行、能源公司甚至基輔的Boryspyl國際機場，美國製藥公司默克和車諾比放射線檢測系統都受到攻擊。

烏克蘭國家銀行表示，已經受到「未知病毒」的打擊，並且難以提供客戶服務和銀行業務。

烏克蘭基輔鮑里斯皮爾機場主任Yevhen Dykhne稱機場已經遭受了「Petya」病毒攻擊。

他在臉書上發帖稱「部分航班可能延誤。

」

俄羅斯石油公司Rosneft 曾經報告說，這是一場「大規模黑客攻擊」伺服器事件。

俄羅斯央行稱，俄羅斯銀行遭受了「計算機攻擊」，有個別銀行的IT系統受到感染。

俄羅斯鋼鐵生產商耶弗拉茲稱其信息系統遭受了網絡攻擊，但生產未受到影響。

法國建材公司聖戈班稱它遭受了網絡攻擊，為了保護數據，公司已將其計算機系統進行隔離。

德國郵政公司稱其在烏克蘭的快遞部門的系統部分遭受網絡攻擊的感染。

德國麥德龍公司稱其位於烏克蘭的批發商店遭受了網絡攻擊，它目前正在評估影響。

美國也受到襲擊，美國製藥公司默克公司表示，其計算機網絡已被 「全球黑客」攻擊。

英國廣告公司WPP還表示，其幾個分支機構的計算機系統疑似遭受了網絡攻擊。

英國的國家網絡安全中心正在調查襲擊的報導。

NCSC（美國國家計算機安全中心）發言人表示：「我們意識到全球ransomware事件，並密切關注情況。

」

丹麥海運巨頭馬士基公司稱網絡攻擊導致其計算機系統出現全球性癱瘓。

馬士基的港口運營商APM Terminals也遭受了攻擊。

由於網絡攻擊，它的IT系統在多個地點下降。

挪威國家安全局稱，挪威遭受了勒索軟體的網絡攻擊，一家不具名的國際公司受到了影響。

歐洲刑警組織EC3作為網絡犯罪部門，正在研究這起全球網絡攻擊。

歐洲刑警組織執行董事Rob Wainwright 在一份Tweet中表示：「我們正在緊急處理另一場重大的勒索病毒攻擊歐洲企業的活動。

」

國際刑警也證實了其在新加坡的網絡部門正在「密切監測」這次全球勒索病毒的攻擊，並與成員國和其他合作夥伴聯絡。

目前，許多受到Petya攻擊的電腦顯示螢幕已收到一張贖金票據，這充分說明在WannaCry勒索病毒爆發一個多月之後，這是第二次全球勒索病毒大爆發，可能影響全球數十萬台電腦。

提供基輔地鐵服務更新的Twitter帳戶的一台電腦正顯示一個要求支付300美元比特幣的贖金票據。

Petya贖金票據

二、Petya的攻擊原理

Bitdefender的網絡安全研究人員的初步調查顯示，正在傳播的惡意軟體是Petya勒索病毒系列的一個變種。

Petya勒索病毒系列特別利害，它不僅使用最先進的加密算法來加密受害者的文件，而且還通過覆蓋主重啟記錄來加密整個硬碟驅動器，從而防止計算機加載作業系統。

然而，雖然許多人認為這是一起Petya勒索病毒攻擊。

但卡巴斯基實驗室的研究人員表示，這種最新的威脅並不是之前報導中所稱的是一種Petya勒索軟體的變種，而是一種之前從未見過的全新勒索軟體。

儘管這種勒索軟體同Petya在字符串上有所相似，但功能卻完全不同。

他們稱之為「NotPetya」，並命名為ExPetr。

與此同時，賽門鐵克公司的分析師則表示，像WannaCry這樣的勒索病毒正在利用EternalBlue（永恆之藍）微軟Windows漏洞進行擴展。

這個Windows漏洞是許多零日漏洞之一。

360首席安全工程師鄭文彬介紹說，Petya勒索病毒最早出現在2016年初，以前主要利用電子郵件傳播。

最新爆發的類似Petya的病毒變種則具備了全自動化的攻擊能力，即使電腦打齊補丁，也可能被內網其他機器滲透感染，必須開啟360等專業安全軟體進行攔截，才能確保電腦不會中毒。

該病毒會加密磁碟主引導記錄（MBR），導致系統被鎖死無法正常啟動，然後在電腦螢幕上顯示勒索提示。

如果未能成功破壞MBR，病毒會進一步加密文檔、視頻等磁碟文件。

它的勒索金額與此前Wannacry病毒完全一致，均為摺合300美元的比特幣。

根據比特幣交易市場的公開數據顯示，病毒爆發最初一小時就有10筆贖金付款，其「吸金」速度完全超越了Wannacry。

據騰訊安全反病毒實驗室旗下的哈勃分析系統分析，petya病毒樣本運行之後，會枚舉內網中的電腦，並嘗試在445等埠使用SMB協議進行連接。

同時，病毒會修改系統的MBR引導扇區，當電腦重啟時，病毒代碼會在Windows作業系統之前接管電腦，執行加密等惡意操作。

電腦重啟後，會顯示一個偽裝的介面，此介面實際上是病毒顯示的，介面上假稱正在進行磁碟掃描，實際上正在對磁碟數據進行加密操作。

當加密完成後，病毒才要求受害者支付價值300美元的比特幣之後，才會回復解密密鑰。

除此之外，包括Recorded Future在內的公司的網絡安全研究人員表示，這種攻擊似乎採取Windows管理規範命令行（WMIC）的優先級，Windows命令行是用於執行Windows系統管理命令的命令行。

WMIC需要一個用戶名和密碼，這表明有效載荷還可以包含一個木馬信息竊取者，這意味著攻擊者可以從被感染的機器中刪除用戶名和密碼，並從一個單元跳轉到下一個單元，甚至可以修補EternalBlue。

三、應對策略

Bitdefender的網絡安全研究人員的初步調查顯示，正在傳播的惡意軟體是Petya勒索病毒系列的一個變種。

Petya勒索病毒系列特別利害，它不僅使用最先進的加密算法來加密受害者的文件，而且還通過覆蓋主重啟記錄來加密整個硬碟驅動器，從而防止計算機加載作業系統。

1. 即使支付贖金，數據也未必能夠恢復:

需要強調的是，勒索軟體攻擊是由人故障發起的犯罪行為。

因此即使支付贖金，也有可能出現對方拒絕解密的情況。

2. 這會助長此類攻擊行為:

一次支付贖金，攻擊者只會變得更加猖獗。

另外，在贖金的支持之下，其將有能力發動更為廣泛的攻擊。

3. 無益於數據安全:

一次支付之後，大家很可能在短時間內面對同樣的威脅。

而且支付贖金也會讓攻擊者意識到，這部分數據對您而言非常重要。

4. 數據泄露:

請記住，勒索軟體攻擊者屬於網絡罪犯，而且大家的數據很可能已經為其所掌握。

5. 主動出擊:

最有效的勒索攻擊應對辦法絕不是支付贖金，而應該在於主動提升系統與軟體的安全性水平——包括使用反病毒、反網絡釣魚、反垃圾郵件、防火牆及其它任何可能的解決方案。

Petya與「5.12WannaCry」以及「6.23勒索軟體新變種」病毒的攻擊及傳播原理一致，不同點在於：

1.感染並加密本地文件的病毒進行了更新，殺毒軟體除非升級至最新版病毒庫，否則無法查殺及阻止其加密本機文件系統；

2.「5.12WannaCry」及「6.23勒索軟體新變種」在傳播方面，分別利用了微軟Windows系統的一個或者若干個系統漏洞，而Petya綜合利用了「5.12WannaCry」及「6.23勒索病毒新變種」所利用的所有Windows系統漏洞，包括MS17-010(5.12WannaCry永恆之藍勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新變種)等補丁對應的多個系統漏洞進行傳播。

3.本次新變異病毒（Petya）是直接將整個硬碟加密和鎖死，用戶重啟後直接進入勒索介面，若不支付比特幣將無法進入系統。

因此，我們提供了應對策略和部分安全廠商的解決方案供參考。

（一）優先應對策略

1.補丁修復：

如前所述，本次Petya利用了「5.12WannaCry」及「6.23勒索軟體新變種」的所有漏洞，因此，補丁方面必須完成「5.12WannaCry」及「6.23勒索軟體新變種」對應的所有補丁，包括：

廠商無補丁或無法補丁的修復建議：

埠限制：使用系統自帶的防火牆設置訪問規則，即使用系統自帶的防護牆，設置遠程訪問埠137、139、445、3389的源IP：

3389埠設置：

Windows 2003：通過防火牆策略限制訪問源IP

Windows 2008：在組策略中關閉智慧卡登錄功能:

組策略(gpedit.msc)-->管理模板-->Windows組件-->智慧卡

聯繫貴公司防病毒軟體解決方案供應商，確認其最新病毒庫已經可以查殺Petya病毒；升級相應病毒庫並推送至所有伺服器及主機。

2.提升用戶信息安全意識度：

本次Petya病毒的感染源頭依然是通過電子郵件向用戶發送勒索病毒文件的形式（或者是用戶主動下載帶病毒的軟體並打開），所以提升用戶信息安全意識度是關鍵的應對措施之一。

用戶下載文件包中如發現包含有異常的附件，則必須注意該附件的安全，在無法確定其安全性的前提下，提醒用戶不要打開。

建議進一步加強對高管及用戶的信息安全意識度宣貫，並且需要結合最新的信息安全趨勢或者熱點問題進行不同主題的宣貫，而且要持之以恆。

WannaCry勒索病毒攻擊者利用Windows系統默認開放的445埠在企業內網內進行病毒傳播與擴散，並且更為嚴重的是，攻擊者不需要用戶進行任何操作即可自行進行病毒的感染與擴散。

感染後的設備上所有的文件都將會被加密，無法讀取或者修改，也即造成了整個系統的癱瘓：

（二）360解決方案

1、警惕未知郵件，不要輕易點擊；

2、儘快更新windows系統補丁（https://technet.microsoft.com/enus/library/security/ms17-010.aspx ）；

3、 內網中存在使用相同帳號、密碼情況的機器請儘快修改密碼，未開機的電腦請先斷網然後確認口令修改完畢、補丁安裝完成後再進行聯網操作。

4、360安全衛士可全面攔截查殺Petya勒索病毒，用戶正常開啟360可以避免中招！

（三）騰訊雲安全防護方案

經過確認，勒索病毒是利用 EternalBlue 進行傳播，可以採用以下方案進行防護和查殺：

1．騰訊雲用戶請確保安裝和開啟雲鏡主機保護系統，雲鏡可對海量主機集中管理，進行補丁修復，病毒監測。

2．更新EternalBlue&CVE-2017-0199對應漏洞補丁

補丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

3．終端用戶使用電腦管家進行查殺和防護

電腦管家已支持對 EternalBlue 的免疫和補丁修復，也支持對該病毒的查殺，可以直接開啟電腦管家進行防護和查殺。

（四）阿里雲安全建議

目前勒索者使用的郵箱已經停止訪問，不建議支付贖金。

所有在IDC託管或自建機房有伺服器的企業，如果採用了Windows作業系統，立即安裝微軟補丁。

安全補丁對個人用戶來說相對簡單。

只需自學裝載，就能完成。

對大型企業或組織機構，面對成百上千台機器，最好還是能使用客戶端進行集中管理。

比如，阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。

可靠的數據備份可以將勒索軟體帶來的損失最小化。

建議啟用阿里雲快照功能對數據鏡像備份，並同時做好安全防護，避免被感染和損壞。

（五）亞信安全解決方案

1.亞信安全最新病毒碼版13.500.60已經包含此病毒檢測，預計2017年6月28日發布，請用戶及時升級病毒碼版本。

2.亞信安全DeepSecurity和TDA 已經於5月2號發布補丁能夠抵禦該勒索病毒在內網的傳播：

TDA：2383:cve-2017-0144-RemoteCode Executeion-SMB(Request)

Deep Security：1008306- Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

3.亞信安全DeepEdge在4月26日已發布了針對微軟遠程代碼執行漏洞 CVE-2017-0144的4條IPS規則。

（規則名稱：微軟MS17 010 SMB遠程代碼執行1-4，規則號:1133635,1133636,1133637,1133638）

（六）安恆信息解決方案

1.安裝微軟MS17-010補丁：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2.鑒於「WannaCry」漏洞的嚴重影響，微軟為已經不在服務期的XP、Server 2003等老版本系統也發布的特別補丁，補丁下載地址：

https://technet.microsoft.com/library/security/4025685.aspx

3.在Windows系統上關閉不必要開放的埠，如445、135、137、138、139等，並關閉網絡共享。

4.不要隨意打開未知來源的郵件、不要打開未明來源的文檔，包括網站、網盤共享的文件，聊天工具傳輸的文件等。

（七）安天解決方案

1.影響作業系統：

Petya勒索軟體影響作業系統：Windows XP及以上版本；

2.如未被感染

（1） 郵件防範

由於此次「必加」（Petya）勒索軟體變種首次傳播通過郵件傳播，所以應警惕釣魚郵件。

建議收到帶不明附件的郵件，請勿打開；收到帶不明連結的郵件，請勿點擊連結。

（2）更新作業系統補丁（MS）

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

（3）更新Microsoft Office/WordPad遠程執行代碼漏洞（CVE-2017-0199）補丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

（4） 禁用WMI服務

禁用操作方法：https://zhidao.baidu.com/question/91063891.html

（5）更改空口令和弱口令

如作業系統存在空口令或弱口令的情況，請及時將口令更改為高強度的口令。

（6）免疫工具

安天開發的「魔窟」（WannaCry）免疫工具，針對此次事件免疫仍然有效。

下載地址：http://www.antiy.com/tools.html

3．如已被感染

（1）如無重要文件，建議重新安裝系統，更新補丁、禁用WMI服務、使用免疫工具進行免疫。

（2）有重要文件被加密，如已開啟Windows自動鏡像功能，可嘗試恢復鏡像；或等待後續可能出現解密工具。

（八）深信服解決方案

1．在經過上個月WannaCry勒索病毒應急工作中打下了良好基礎，該病毒目前尚未在我國大面積傳播。

受影響用戶請在這段時間抓緊時間更新漏洞補丁。

（CVE-2017-0199) RTF漏洞補丁地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

S17-010（永恆之藍）SMB漏洞補丁地址：

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2．提防釣魚郵件，遇到攜帶不明附件和不明連結的郵件請勿點擊。

3．臨時解決方案，禁止使用smb服務的139、445等危險埠，禁用方法：

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

4．針對上個月WannaCry開發免疫工具，對於本次事件區域網傳播阻斷依然有效。

下載地址：

http://sec.sangfor.com.cn/download?file=WannaCryTool.zip

5．針對CVE-2017-0199、MS-17-010兩個漏洞，深信服安全防護設備早已發布安全防護規則，用戶無需升級即可輕鬆防禦。

（九）梆梆安全解決方案

1.未感染系統安全防護建議

1）加強可疑電子郵件防範：對含有不明附件、可疑連結的電子郵件謹慎點擊。

2）即刻更新安全補丁：

（1）作業系統安全補丁（MS）

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

（2）Microsoft Office/WordPad遠程執行代碼漏洞（CVE-2017-0199）補丁

https://technet.microsoft.com/zh-cn/office/mt465751.aspx

3）系統服務禁用：禁止系統里的WMI服務。

具體操作方法為，我的電腦--》控制面板--》管理工具--》服務--》Windows Management Instrumentation服務，右鍵點擊屬性，選擇「常規」面板里的「啟動類型」，設置為「已禁用」，確定。

4）加強作業系統啟動密碼強度：特別對於存在空口令或弱口令問題的作業系統，需要第一時間將登錄密碼口令更改為高強度密碼口令。

2.已感染系統安全修復建議

1）重新安裝作業系統：如無重要數據需要恢復，請徹底格式化後重新安裝作業系統。

2）恢復備份：如有重要文件，且已經提前進行文件備份的用戶，可在重新安裝作業系統後，進行文件恢復操作。

3）拒絕支付贖金：由於目前勒索攻擊者所使用電子郵箱已被相關電郵服務提供商關閉，故建議拒絕支付贖金，等待後繼對該勒索病毒的深入分析，找到解鎖密碼或者解鎖方式後，恢復被加密系統與文件。

4）發現系統崩潰後，請勿重啟，立即強制關機。

3.移動端安全預防禦建議

1）謹慎打開可疑電子郵件：請在移動端警惕點擊任何可疑電子郵件，特別是郵件所帶連結、附件文件。

2）在正規應用商店下載APP：請在正規應用商店下載APP，降低安裝、使用山寨APP、惡意APP的可能性，封堵移動端勒索攻擊傳播渠道。

3）加強渠道及危險感知監控：

（1）請使用梆梆安全渠道監管監測平台的用戶，加強對可疑APP的監控，防範該新型勒索病毒Petya變種通過盜版APP實施移動端蔓延攻擊。

（2）請使用梆梆安全移動威脅感知平台的用戶，加強對可疑移動業務的監控，及時預警高風險危機，提前封堵隱患。

（十）綠盟科技防護方案

1. 及時更新終端安全防護軟體及Windows安全補丁，重點檢查MS17-010補丁安裝情況；

2. 利用威脅分析系統（TAC)檢測通過網頁、郵件或文件共享方式試圖進入內部網絡的惡意軟體；

3. 及時告知終端用戶儘量避免打開未知郵件中的連結或附件，謹慎從網絡下載各類可執行程序。

四、Petya的感染細節及文件恢復

Petya和其他流行勒索軟體不一樣，它是通過攻擊底層的磁碟架構達到無法訪問整個系統的目的。

惡意軟體的作者不僅創建了自身的引導程序，而且還創建了一個微型的內核，長度為32節區。

Petya釋放的文件向磁碟頭部寫入惡意代碼，被感染系統的主引導記錄被引導加載程序重寫，並且加載一個微型惡意內核。

接著，這個內核開始進行加密。

Petya聲稱加密了所有的磁碟，但事實不是這樣。

相反它只加密了主文件表，因此文件系統不可讀。

預防技巧

Petya在第二階段最危險，感染主機在BSOD之後重啟。

為了阻止計算機在這一階段自動重啟，因此在系統故障後關閉自動重啟

如果你是在第一階段檢測到Petya，那麼你的數據還是可恢復的。

具體信息看這裡。

分析樣本

dfcced98585128312b62b42a2a250dd2 –惡意軟體壓縮包

af2379cc4d607a45ac44d62135fb7015 – 主程序

7899d6090efae964024e11f6586a69ce – Setup.dll

d80fc07cc293bcd36e630d45a34aca11 – Petya 的引導程序的dump+其他惡意活動中獲得的內核主程序（PDF 圖標）

a92f13f3a1b3b39833d3cc336301b713

行為分析

勒索軟體的傳播途徑是通過郵件進行傳播，郵件偽裝成求職簡歷。

木馬通過連結的方式加入郵件中，連結指向dropbox上的一個壓縮文件，包含兩個文件：

和一張申請人的照片（該照片是未經許可使用的庫存圖片）

一個偽裝成簡歷的自解壓的可執行文件或者是PDF文件（該文件釋放一個惡意的32位PE文件）

木馬需要管理員權限才能執行。

然而，木馬卻未採用by pass UAC技術，完全依賴於社工。

當打開木馬文件時，出現UAC彈窗：

執行完後，系統crash。

重啟後，將會看到下面的一幕，模仿磁碟檢查過程：

實際上，惡意內核早就開始加密文件了。

結束後，感染的主機將會看到閃爍的螢幕，由一些ASCII碼組成：

按任意鍵後，出現勒索信息，按照信息提示支付比特幣才能解決問題：

感染階段

木馬感染主機分為兩個階段。

第一階段執行木馬釋放的文件（windows可執行文件）。

它會重寫磁碟頭部（包括MBR），XOR加密主分區表的備份。

這個階段會導致電腦BSOD。

在這個點保存數據很簡單，因為只有磁碟的頭部被加密了，整個文件系統沒有破壞，我們仍然可以通過掛載磁碟使用它的內容。

這就是為什麼如果你受到勒索軟體的攻擊，第一件事不要重啟系統。

你要做的是dump磁碟文件。

最後，在這一階段，將磁碟文件掛載到其他系統中，製作文件的備份。

詳情：這裡。

第二階段是偽造磁碟檢查的掃描。

之後，文件系統徹底破壞，並不可讀：

然而，並不是所有的磁碟文件都被加密了，如果我們使用一些工具可以看到很多有效元素包括字符串：

提供給受害人的網址

我們注意到，受害者訪問的勒索網頁也是精心準備的。

其中，菜單欄可以選擇多種語言版本，但是到目前為止，只有英文版的能正常顯示：

並且還向受害人一步步展示如何恢復他們的數據：

步驟1：輸入個人識別碼

步驟2：購買比特幣

步驟3：進行比特幣交易

步驟4：等待確認

我們原本以為這些網絡罪犯留下的信息會很少，但是，在這裡，木馬的作者非常自信，公布了他們的團隊名：」Janus Cybercrime Solutions」，項目完成時間是在2015年12月12日。

同時，還反饋更新信息，點擊相關連結了解他們：

他們還提供網址給受害人，用於答疑：

細節分析

步驟1

之前我們說過，第一階段是Windows可執行文件過程。

該可執行文件採用強健的 FUD/cryptor進行加殼加密，這就是為什麼剛開始不能看到惡意代碼的原因。

第一層執行的是一些無意義的用來欺騙和保護真正payload的代碼。

真正的惡意代碼payload動態解密到內存中。

下面你可以看到運行進程的內存。

原始進程EXE的代碼別標記為紅色。

解壓後的惡意代碼標記為藍色：

解壓後的PE文件內容：

然而，如果我們直接dump的話，不能夠得到有效的EXE。

數據的目錄是損壞的。

Cryptor在處理PE文件的時候，為了將PE文件加載到連續的空間，而不是被節區逐一分開。

因此如果沒有被Cryptor存根加載的話是不能夠單獨運行的。

RVA的地址保存為文件地址。

我用工具重新映射文件，顯示了更多的信息，例如，PE文件名是setup.dll：

更正：如果我們在正確的時候捕獲到解壓後的文件，我們可以在文件破壞之前dump下DLL文件。

最後的payload：542a38bf52afa6a4a008089a6fbf22c9d68ef5d6c634dd2c0773d859a8 ae2bbf

就像它的名字說的那樣，該payload的角色是為下一階段進行配置。

首先，生成一個唯一的key用於後面的加密。

這個key攻擊者必須知道。

這就是為什麼是被ECC加密的，而且受害人可以看到個人識別碼，而且這個key必須通過個人頁面發送給攻擊者。

這個隨機值是通過Windows的Crypto API函數：CryptGenRandom生成的。

下面，獲取128位隨機Key的過程：

生成洋蔥伺服器地址：

獲取DeviceControl檢查磁碟參數：

讀寫磁碟：

在重寫完磁碟後，開始crash系統，使用一個沒有正式文檔說明的函數NtRaiseHardError：

在這裡，第一階段對磁碟的改變已經完成。

下面你可以看到被Petya的啟動程序複寫後的MBR：

下面的一些節區包含的備份是經過」7」 XOR後的數據。

之後可以看到複製的Petya代碼（開始0×4400-節區34）。

還可以看到勒索信息的字符串，拷貝至磁碟：

步驟2

步驟2是向磁碟頭部寫入數據的代碼的內部。

這段代碼是16bit的結構。

程序開始於引導加載，向內存中加載一個微型內核。

下面我們可以看到加載函數。

內核開始於節區34並且是32節區長度（包括保存的數據）：

內核開始處：

檢查數據是否已經被加密，使用一個保存在節區54開始處的字節數據標誌位。

如果這個標誌位沒有置位，程序開始偽造磁碟檢查的掃描。

否則，顯示紅色螢幕。

磁碟掃面並加密MFT，使用Salsa20算法。

使用的32byte長度的key，從地址0x6c01處讀取。

之後這個key就被清除。

Salsa20在Petya的多個代碼段中用於加密，解密以及Key的認證。

圖解如下：

內部相同的函數顯示了紅色螢幕，這個key的檢查被調用。

首先，用戶提供一個key。

最大的輸入長度為73字節，最小為16字節。

調試

dfcced98585128312b62b42a2a250dd2 –惡意軟體壓縮包

af2379cc4d607a45ac44d62135fb7015 – 主程序

7899d6090efae964024e11f6586a69ce – Setup.dll

d80fc07cc293bcd36e630d45a34aca11 – Petya 的引導程序的dump+其他惡意活動中獲得的內核主程序（PDF 圖標）

a92f13f3a1b3b39833d3cc336301b713

Key認證

Key認證的過程分為以下幾步：

1.讀取用戶的輸入。

接收字符集：123456789abcdefghijkmnopqrstuvwxABCDEFGHJKLMNPQRSTUVWX，如果字符包括這些則跳過

只有前16個字節才會被存儲。

2.使用普通算法加密提供的Key。

加密的key長度為32字節。

3.節區55（512字節）中的數據讀入內存//指向認證Buffer

4.存儲在物理地址0x6c21（在TOR地址前）處的值被讀入內存。

這是一個8字節長的長整型數據，唯一的感染特徵//指向一個唯一的值

5.認證的Buffer被256bit的Salsa20加密密鑰加密，值也是唯一的

6.如果認證的buffer被7完全填充，那麼意味著，提供的Key是正確的。

例如：加密key VS提供的key：

加密提供的key的算法很簡單：

bool encode(char* key, BYTE *encoded)

{

if (!key || !encoded) {

printf("Invalid buffer\n");

return false;

}

size_t len = strlen(key);

if (len < 16) {

printf("Invalid key\n");

return false;

}

if (len > 16) len = 16;

int i, j;

i = j = 0;

for (i = 0, j = 0; i < len; i++, j += 2) {

char k = key[i];

encoded[j] = k + 'z';

encoded[j+1] = k * 2;

}

encoded[j] = 0;

encoded[j+1] = 0;

return true;

}

有效的key在解密過程非常重要。

如果我們提供了偽造的鑰匙，並試圖通過它通過修改跳躍條件使得其有效，那麼Petya將恢復原來的MBR ，但其他數據將無法正確解密，作業系統將無法運行。

當這個key傳入檢查，Petya顯示」加密節區」的信息：

在完成後，會需要重啟電腦。