GhostPetya骷髅头勒索病毒袭卷半导体行业

2018-12-11 7,517

 近日,国内半导体行业爆发勒索病毒,造成业务大面积瘫痪,深信服安全团队率先接到情报并进行处置,发现其攻击手段与早期Petya勒索病毒有相似之处,但又有很大不同,其攻击方式包括控制域控服务器、钓鱼邮件、永恒之蓝漏洞攻击和暴力破解,威力巨大,可在短时间内造成内网大量主机瘫痪并弹出骷髅头!

深信服已将其命名为GhostPetya骷髅头勒索病毒,并且制定了完善的防御措施和解决方案。

image.png

中招主机,其勒索信息如下,黑客索要0.1个比特币赎金。

2.png 

 

病毒分析

1.以读写的模式,打开主机\\.\PhysicalDrive0、\\.\PhysicalDrive1、\\.\PhysicalDrive2、\\.\PhysicalDrive3、\\.\I等磁盘,如下所示:

3.png 

2.然后MBR勒索的数据写入到这些打开的磁盘空间中,如下所示:

4.png 

写入的相关数据,如下所示:

5.png 

显示的勒索信息,如下所示:

6.png 

3.然后执行重启系统命令,如下所示:

7.png 

4.从感染的主机中提取出相应的MBR数据,如下所示:

8.png 

 

5.感染后的主机,会先调用CHKDSK进行磁盘检测操作,如下所示:

9.png 

调用磁盘检测信息,如下所示:

10.png 

完成之后会弹出勒索图片闪屏信息

按任意健进入系统,显示如下所示的勒索信息:

11.png 

要求受害客户支付0.1个BTC进行解锁操作,BTC地址:

1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX

6.对感染后主机的MBR进行动态调试,如下所示:

12.png 

7.经过调试分析,此感染后的MBR与之前Petya勒索病毒MBR代码非常相似,调用int 13中断,将扇区1-32从磁盘加载到内存0x8000开始的地址,然后转到0x8000执行指令,如下所示:

13.png 

8.循环读取$等字符串信息,用于显示勒索信息图片,如下所示:

14.png 

9.显示勒索图片信息,如下所示:

15.png 

设置屏幕的显示模式,如下所示:

16.png

设置屏幕滚动参数,如下所示:

17.png 

然后进行闪屏操作,如下所示:

18.png 

10.检测是否有键盘按键信息,如下所示:

19.png 

11.如果有按键信息,则读取相应的勒索信息,弹出信息勒索信息显示界面,如下所示:

20.png 

相应的勒索信息数据,如下所示:

21.png 

12.循环检测用户输入的key,如下所示:

22.png 

 

 

 

解决方案

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。

3、查找攻击源:借助深信服安全感知平台。

4、查杀病毒:推荐使用深信服EDR进行查杀。

5、修补漏洞:打上漏洞相关补丁,漏洞包括“永恒之蓝”漏洞等

 

不幸中招的用户,可以尝试以下方式进行业务恢复:

 

1:进入PE模式和制作启动U盘

工具:

U盘启动制作软件

U盘(制作启动盘时候格式化)

测试PC为Windows

23_2.png 

制作好后U盘插入PC,开机进入PE模式有两种方法

(1) 开机后按F12,进入启动项选择U盘启动(不同的电脑按键不一样,可自行百度)

(2) 进入BIOS系统中 (我这里选择FN+F12,可以去网上查的)选择U盘启动

24.jpg

然后进入如下图界面,由于测试的PC是windows7系统,所以选择第[02]选项

(根据中毒的PC情况来选项)

25_2.png

26.png 

 

2:恢复数据

步骤1:接入运行桌面上的 DiskGenius软件,找到中毒PC的硬盘(一般为500G和1TB左右) 

27.png 

步骤2:点击鼠标右键运行”搜索已丢失分区(重建分区表)”

28.jpg 

29.jpg 

步骤3:如果在搜索期间,弹出“搜索到分区框”记得点击保留

30.png 

步骤4:最后可以看到数据恢复了,接着需要“点击保存”

31.png

32.jpg 

 

3:重建MBR

步骤1:正常情况下数据恢复后重启系统的话,mbr还是不能正确引导系统启动,所以这个时候需要紧接着修复mbr,点击鼠标右键运行”重建主导记录MBR”,这个时候会新建MBR

33.png 

34.jpg 

35.png 

这个时候就可以重新启动系统就可以恢复了

4:其它事项(注意)

2恢复数据流程

步骤2:运行在”搜索已丢失分区(重建分区表)”,当软件一直正在搜索情况下不要停止搜索后再次(重建分区表),最好是一次性(重建分区表),不然的话,第2次搜索完后丢失的数据可能会丢失部分

步骤4:注意个别PC会存在系统C盘恢复不回来,这个时候可以直接插入备份U盘拷贝其它盘的数据出来后重装系统)

 

3重建MBR流程

方法1:在DiskGenius上新建,上文已提到

方法2:进入PE模式后,点击左下角的”引导修复--Bootice(引导扇区恢复工具)—主引导记录(M)-=选择Windows NT5.X/6.X MBR--点击安装/配置

 

37.jpg 

38.png 

然后根据系统点击Windows NT5.X MBR或者Windows NT6.X MBR后完成重启系统即可

 

 

注意:存在个别情况就是数据恢复回来了,但是C盘的恢复不了或者新建MBR后正常开机不了,这个时候可以在PE模式下把其它盘的重要数据拷贝出来重装系统


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/91565.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号