360QVM团队: Petya勒索木马分析及手工修复方法

付费节点推荐


免费节点


节点使用教程


Petya是近期比较流行的一类勒索木马,该木马会加密系统MBR分区(磁盘主引导区),重启系统之后没有正确的解密key,就无法进入系统。由于MBR分区信息被木马修改了,如果没有按照木马提示支付赎金,硬盘里的数据就会丢失。

鉴于Petya具有较强的破坏性,360QVM团队对Petya勒索木马的最新变种进行详细分析之后,找到了Petya勒索木马的重要特征,以及在保存有MBR分区信息备份情况下的修复方法。

Petya木马分析

一、伪装成pdf文档,通过“//./PhysicalDrive0”这个路径作为文件打开,并且利用DeviceIoControl发送控制码获取权限

360QVM团队: Petya勒索木马分析及手工修复方法

二、先破坏第1扇区,从1-33扇区全部填充为数字7

360QVM团队: Petya勒索木马分析及手工修复方法

三、然后通过操作系统启动所经过的毫秒数系统进程线程等信息通过随机函数生成一组key,每次都生成不同的key,通过ida对加密函数采用的数据进行分析,找到木马采用的不可逆的SHA-512加密算法

360QVM团队: Petya勒索木马分析及手工修复方法

360QVM团队: Petya勒索木马分析及手工修复方法

360QVM团队: Petya勒索木马分析及手工修复方法

四、然后破坏第0扇区的数据,写入被加密数据。

360QVM团队: Petya勒索木马分析及手工修复方法

五、接着生成配置信息,personal decryption code信息,从34扇区到49扇区写入恶意代码

360QVM团队: Petya勒索木马分析及手工修复方法

360QVM团队: Petya勒索木马分析及手工修复方法

六、调用异常重启电脑,运行木马修改的mbr代码,伪装系统自检,显示勒索画面。

360QVM团队: Petya勒索木马分析及手工修复方法

360QVM团队: Petya勒索木马分析及手工修复方法

七、运行引导区的恶意代码主要功能有重启系统,伪装系统自检,出现恶意画面,显示敲诈画面,提示中毒,要求输入key,可以多次输入,检查输入的key是否正确,不正确则无法进入系统。

重启系统部分

360QVM团队: Petya勒索木马分析及手工修复方法

判断系统类型

360QVM团队: Petya勒索木马分析及手工修复方法

伪装系统自检

360QVM团队: Petya勒索木马分析及手工修复方法

出现恶意画面

360QVM团队: Petya勒索木马分析及手工修复方法

提示中毒,要求输入key,可以多次输入。

360QVM团队: Petya勒索木马分析及手工修复方法

360QVM团队: Petya勒索木马分析及手工修复方法

检查输入的key是否正确,错误会出现”You became victim of the PETYA RANSOMWARE!”提示画面:

360QVM团队: Petya勒索木马分析及手工修复方法

手工修复方法

根据该木马的特点,只要备份0扇区的数据,中毒之后恢复0扇区的数据,清除1-33扇区的垃圾数据和34扇区到49扇区写入的恶意代码即可。

木马防护措施

Petya木马传播途径大多来自于网盘分享,它伪装成解压程序一类的图标,具有较强的欺骗性。不过由于该木马的设计思路是建立在修改MBR的基础上,而对于360安全卫士等具备主动防御功能的安全软件来说,任何可疑程序修改MBR都会被拦截,因此Petya无法感染360用户电脑,广大网友对Petya木马不必过于恐慌,只要注意开启安全软件保护就能避免中招。

360QVM团队: Petya勒索木马分析及手工修复方法

声明:IT之家网站刊登/转载此文出于传递更多信息之目的,并不意味着赞同其观点或论证其描述。

未经允许不得转载:Bcoder资源网 » 360QVM团队: Petya勒索木马分析及手工修复方法

更多优质资源关注微信公众号: bcoder

bcoder
赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册