域名預訂/競價，好“米”不錯過

突發(fā)!GhostPetya骷髏頭勒索病毒襲擊半導體行業(yè)

近日,國內半導體行業(yè)爆發(fā)勒索病毒,造成業(yè)務大面積癱瘓,深信服安全團隊率先接到情報并進行處置,發(fā)現(xiàn)其攻擊手段與早期Petya勒索病毒有相似之處,但又有較大不同,其攻擊方式包括控制域控服務器、釣魚郵件、永恒之藍漏洞攻擊和暴力破解,攻擊力極大,可在短時間內造成內網(wǎng)大量主機癱瘓,中招主機被要求支付0.1個比特幣贖金。

深信服已將其命名為GhostPetya骷髏頭勒索病毒,并且制定了完善的防御措施和解決方案。

病毒名稱:GhostPetya

病毒性質:勒索病毒

影響范圍:已感染多家半導體行業(yè)企業(yè),很可能大規(guī)模爆發(fā)

危害等級:高危

傳播方式:控制域控服務器、釣魚郵件、永恒之藍漏洞攻擊和暴力破解

▲中招主機彈出骷髏頭

▲中招主機勒索信息

病毒分析

1.以讀寫的模式,打開主機\\.\PhysicalDrive0、\\.\PhysicalDrive1、\\.\PhysicalDrive2、\\.\PhysicalDrive3、\\.\I等磁盤:

2.然后MBR勒索的數(shù)據(jù)寫入到這些打開的磁盤空間中:

寫入的相關數(shù)據(jù),如下所示:

顯示的勒索信息,如下所示:

3.然后執(zhí)行重啟系統(tǒng)命令:

4.從感染的主機中提取出相應的MBR數(shù)據(jù),如下所示:

5.感染后的主機,會先調用CHKDSK進行磁盤檢測操作:

調用磁盤檢測信息,如下所示:

完成之后會彈出勒索圖片閃屏信息。按任意鍵進入系統(tǒng),顯示下圖所示的勒索信息,要求受害客戶支付0.1個BTC進行解鎖操作,BTC地址:

1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX

6.對感染后主機的MBR進行動態(tài)調試,如下所示:

7.經(jīng)過調試分析,此感染后的MBR與之前Petya勒索病毒MBR代碼非常相似,調用int 13中斷,將扇區(qū)1-32從磁盤加載到內存0x8000開始的地址,然后轉到0x8000執(zhí)行指令,如下所示:

8.循環(huán)讀取$等字符串信息,用于顯示勒索信息圖片,如下所示:

9.顯示勒索圖片信息,如下所示:

設置屏幕的顯示模式:

然后進行閃屏操作:

10.檢測是否有鍵盤按鍵信息,如下所示:

11.如果有按鍵信息,則讀取相應的勒索信息,彈出信息勒索信息顯示界面:

相應的勒索信息數(shù)據(jù),如下所示:

12.循環(huán)檢測用戶輸入的key:

解決方案

1、隔離感染主機:已中毒計算機盡快隔離,關閉所有網(wǎng)絡連接,禁用網(wǎng)卡。

2、切斷傳播途徑:關閉潛在終端的SMB 445等網(wǎng)絡共享端口,關閉異常的外聯(lián)訪問。深信服下一代防火墻用戶,可開啟IPS和僵尸網(wǎng)絡功能,進行封堵。

3、防止暴力破解:深信服防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則,EDR開啟防爆破功能可進行防御。

4、查找攻擊源:手工抓包分析或借助深信服安全感知平臺。

5、查殺病毒:推薦使用深信服EDR進行查殺。

6、修補漏洞:打上漏洞相關補丁,漏洞包括“永恒之藍”漏洞等。

7、更改賬戶密碼,設置強密碼,避免使用統(tǒng)一的密碼,因為統(tǒng)一的密碼會導致一臺被攻破,多臺遭殃。

不幸中招的用戶,可以嘗試以下方式進行業(yè)務恢復:

1、進入PE模式和制作啟動U盤

工具:

U盤啟動軟件

U盤(制作啟動盤時候格式化)

測試PC為Windows

制作好后U盤插入PC,開機進入PE模式有兩種方法:

(1) 開機后按F12,進入啟動項選擇U盤啟動(不同的主機按鍵不一樣,可自行網(wǎng)上查詢);

進入BIOS系統(tǒng)中 (測試主機為FN+F12進入,不同主機快捷鍵不同,建議根據(jù)主機情況進行網(wǎng)上查詢快捷鍵)選擇U盤啟動:

然后進入如下圖界面,由于測試的PC是windows7系統(tǒng),所以選擇第[02]選項(根據(jù)中毒的PC情況來選項):

2、恢復數(shù)據(jù)

步驟1:接入運行桌面上的 DiskGenius軟件,找到中毒PC的硬盤(一般為500G和1TB左右) :

步驟2:點擊鼠標右鍵運行“搜索已丟失分區(qū)(重建分區(qū)表)”:

步驟3:如果在搜索期間,彈出“搜索到分區(qū)框”記得點擊保留。

步驟4:最后可以看到數(shù)據(jù)恢復了,接著需要“點擊保存”:

3、重建MBR

正常情況下數(shù)據(jù)恢復后重啟系統(tǒng)的話,mbr還是不能正確引導系統(tǒng)啟動,所以這個時候需要緊接著修復mbr,點擊鼠標右鍵運行“重建主導記錄MBR”,這個時候會新建MBR:

這時候重新啟動系統(tǒng)就可以恢復了。

4、其它事項(注意)

恢復數(shù)據(jù)流程

步驟2:運行在“搜索已丟失分區(qū)(重建分區(qū)表)”,當軟件一直正在搜索情況下不要停止搜索后再次(重建分區(qū)表),否則第2次搜索完后丟失的數(shù)據(jù)可能會丟失部分。

步驟4:注意個別PC會存在系統(tǒng)C盤恢復不回來,這個時候可以直接插入備份U盤拷貝其它盤的數(shù)據(jù)出來后重裝系統(tǒng))。

重建MBR流程

方法1:在DiskGenius上新建,上文已提到;

方法2:進入PE模式后,點擊左下角的引導修復--Bootice(引導扇區(qū)恢復工具)—主引導記錄(M)-=選擇Windows NT5.X/6.X MBR--點擊安裝/配置:

注意: 存在個別情況就是數(shù)據(jù)恢復回來,但是C盤的恢復不了或者新建MBR后正常開機不了,這個時候可以在PE模式下把其它盤的重要數(shù)據(jù)拷貝出來重裝系統(tǒng)。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！