您当前的位置: 首页 > 旅游

360QVM团队Petya勒索木马分析及iyiou.com

2019-03-11 17:01:35

360QVM团队: Petya勒索木马分析及手工修复方法

Petya是近期比较流行的一类勒索木马,该木马会加密系统MBR分区(磁盘主引导区),重启系统之后没有正确的解密key,就无法进入系统。由于MBR分区信息被木马修改了,如果没有按照木马提示支付赎金,硬盘里的数据就会丢失。

鉴于Petya具有较强的破坏性,360QVM团队对Petya勒索木马的变种进行详细分析之后,找到了Petya勒索木马的重要特征,以及在保存有MBR分区信息备份情况下的修复方法。

Petya木马分析

一、伪装成pdf文档,通过\\.\PhysicalDrive0这个路径作为文件打开,并且利用 DeviceIoControl发送(1)对身边发生的事情控制码获取权限

二、先破坏第1扇区,从扇区全部填充为数字7

三、然后通过操作系统启动所经过的毫秒数系统进程线程等信息通过随机函数生成一组key,每次都生成不同的key,通过ida对加密函数采用的数据进行分析,找到木马采用的不可逆的SHA-512加密算法。

四、然后破坏第0扇区的数据,写入被加密数据。

五、接着生成配置信息,personal decryption code信息,从34扇区到49扇区写入恶意代码

六、调用异常重启电脑,运行木马修改的mbr代码,伪装系统自检,显示勒索画面。

七、运行引导区的恶意代码主要功能有重启系统,伪装系统自检,出现恶意画面,显示敲诈画面,提示中毒,要求输入key,可以多次输入,检查输入的key是否正确,不正确则无法进入系统。

重启系统部分

判断系统类型

伪装系统自检

出现恶意画面

提示中毒,要求输入key,可以多次输入。

检查输入的key是否正确,错误会出现 You became victim of the PETYA RANSOM红尘空空如也WARE!提示画面:

手工修复方法

根据该木马的特点,只要备份0扇区的数据,中毒之后恢复0扇区的数据,清除扇区的垃圾数据和34扇区到49扇区写入的恶意代码即可。

木马防护措施

Petya木马传播途径大多来自于盘分享,它伪装成解压程序一类的图标,具有较强的欺骗性。

不过由于该木马的设计思路是建立在修改MBR的基础上,而对于360安全卫士等具备主动防御功能的安全软件来说,任何可疑程序修改MBR都会被拦截,因此Petya无法感染360用户电脑,广大友对Petya木马不必过于恐慌,只要注意开启安全软件保护就能避免中招。

声明:本文仅为传递更多络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。

教育下半场的十大发展趋势风向已变
2015年成都金融上市后企业
2009年西安生活服务A轮企业
推荐阅读
图文聚焦