安全研究

业界动态
PetrWrap勒索软件半道绑架了Petya勒索软件 这样就省得自己写代码加密硬盘了 小鬼遇上了死鬼

卡巴斯基实验室研究员发现,近期一勒索软件家族PetrWrap,利用臭名昭著的Petya勒索软件加密用户数据,并动态修改了软件,控制其执行进程。不过勒索软件Petya也不是什么好东西。   

 

Petya是去年3月出现的,当时立刻引起了研究人员的注意,因为它能够操控主引导记录(MBR),控制机器,而不像其他勒索软件那样加密用户的文件。不久,Petya与Mischa勒索软件狼狈为奸,演变为勒索软件即服务(RaaS)。   

 

PetrWrap勒索软件绑架了Petya勒索软件   

 

最新出现的这款勒索软件名为PetrWrap(Trojan-Ransom.Win32.PetrWrap),利用Petya进行恶意活动,但并非基于RaaS。它通过手动模式传播:幕后操控者将目标对准某组织的网络,入侵后使用合法的PsExec工具在所有终端与服务器上安装勒索软件。

   

这款新恶意软件使用C语言,用微软的Visual Studio编译,加入了一个特殊模块,可使用第三版Petya样本感染目标机器,但是在其运行期间修改了代码,以控制执行进程。据来自卡巴斯基的Anton Ivanov和Fedor Sinitsyn所说,该威胁具有自己的加密程序。 

  

PetrWrap勒索软件的工作机制   

 

启动后,PetrWrap推迟至一个半小时后执行。之后,解密数据部分,获得Petya的主要动态链接库(DLL),准备调用已导出的ZuWQdweafdsg345312函数。调用函数后,Petya就为下一步操作做好了准备,开始覆盖MBR。因为PetrWrap需要首先Hook几个Petya函数,所以要阻止它自动运行。   

 

接下来,它做了必要的密码计算,Hook了两个Petya过程,然后将执行结果传递给Petya。PetrWrap用独立的实现完整替换了Petya的ECDH部分,这样就可以使用自己的私钥和公钥。这款勒索软件具有内置公钥,为每次感染生成一对会话密钥,计算ecdh_shared_digest,截获Petya的Salsa密钥并用ecdh_shared_digest进行加密,构造user_id,然后将该ID传递给Petya,后者将其作为自己的数据使用。   

 

PetrWrap软件Hook了Petya的两个过程,并用自己的过程进行替换。这样,就保存了Petya生成的Salsa密钥以便后续使用;它还对Petya的bootloader代码和勒索文本进行增补,将执行结果传递给原有过程,调用这个过程,生成user_id,替换Petya的ID字符串。   

 

经过这些改动,PetrWrap就可以锁定受害者的机器,安全地加密NTFS分区的MFT,显示锁屏画面,而对Petya只字不提(也没有闪烁的骷髅动画)。另外,使用这个方法,PetrWrap开发者可加密bootloader,而无需写自己的代码。    

 

卡巴斯基称PetrWrap勒索软件目前无法解密   

该勒索软件族使用强加密算法,所以受害者没有现成的免费解密工具可用。不过,卡巴斯基表示,受害者可以尝试使用R-Studio之类的第三方工具恢复文件。卡巴斯基总结道:“以加密数据为主要目的的定向攻击越来越流行。应用勒索软件的定向攻击一般试图发现有漏洞或对RDP访问没有进行保护的服务器。在进入组织的网络后,攻击者使用Mimikatz之类的框架来获取必要凭证,以便在全网安装勒索软件。”  

  

本文由:securityWeek 发布,版权归属于原作者。                         
如果转载,请注明出处及本文链接:                        
http://toutiao.secjia.com/petrwrap-ransomware-hijacked-petya-ransomware
如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭