Petya的仿冒者——FakePetya系列病毒

Petya，出自1995年上映的007系列电影《黄金眼》，是电影中两个"黄金眼"卫星之一的名字。而2016年，一款使用了该名称的勒索病毒席卷全球，让大家再次认识了这个可怕的名字。

近日，360互联网安全中心捕获了一款Petya勒索病毒的仿冒者。之所以说是在仿冒Petya，是因为该勒索病毒与Petya有许多相似之处：都是通过修改用户计算机的MBR（主引导记录）来破坏系统；重启后在展示勒索信息之前，也会出现一个用字符拼成的骷髅头——只不过这个版本的骷髅头比原版的更加"酷炫"。

而之所以我们说它是一个仿冒者，是因为经过分析，该勒索病毒与真正的Petya还是有很多不同的。

入侵来源

首先要说的是，此次的勒索病毒入侵来源于局域网的弱口令入侵，而非真正Petya所使用的漏洞入侵方法：

目前，我们捕获到了三款相关勒索病毒文件（update.exe、update2.exe、update3.exe），入侵脚本会在成功破解了登录口令后，将这三款勒索病毒中的其中一款（或几款）释放到被成功入侵的机器中，并运行。

而就目前我们发现的脚本来看，实际上本次入侵仅传播了update3.exe一款勒索病毒。而未被传播的update.exe和update2.exe其实才是真正意义上的传统勒索病毒。

可被恢复的rickroll勒索病毒

其中update.exe会将所有加密后的文件添加.rickroll的扩展名。

同时，会留下RICKROLL_BLOCKED.txt、RICKROLL_HELP.txt、RICKROLL_MESSAGE.txt三个勒索信息文件（内容完全相同）：

同时，该勒索病毒使用了可被恢复的对称加密算法，并将密钥保存在了%APPDATA%\000000000.key文件中。

该勒索病毒所提出的金额为将400美元等值的比特币汇入其比特币钱包，地址如下：

1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX

同时，还留下了一个联系邮箱：

rickastley@keemail.me

传统的backup勒索病毒

与rickroll不同，update2.exe会将被所有被加密的文件后面添加.backup扩展名。虽然扩展名的含义是"备份"，但看起来更像是在嘲讽那些没有及时备份重要数据的受害者。

同时，会创建一个%APPDATA%\HOW_TO_DECRYPT_FILES.html的文件来展示勒索信息：

而勒索病毒使用的则是更为常规的非对称加密算法，暂时难以找到技术手段对被它加密的文件进行恢复。

另外，该勒索病毒仅留下了两个邮箱作为联系方式，并未直接提出具体勒索金额：

rickastley@msgsafe.ninja

rickastley@keemail.me

"加密"MBR的FreeWorld勒索病毒

而实际参与了这次破坏的MBR勒索病毒就显得非常简单粗暴了——下图是其全部的功能代码：

病毒会根据物理路径分别打开计算机的\\.\PhysicalDrive0、\\.\PhysicalDrive1、\\.\PhysicalDrive2、\\.\PhysicalDrive3和\\.\I五个设备。打开之后，就直接将同一份准备好的数据文件写入到者五个地址中去，完全没有备份一类的操作。

也就是说我们可以这样理解：该病毒在"加密"了计算机的MBR之后，根本没有做可以恢复的准备——与其说这是加密，倒不如说这是在直接破坏。

此外，我们分析了勒索病毒向磁盘中强行写入的数据。这部分数据总大小为0x8000（即32768个字节），也就是64个磁盘扇区。其中：

1. 0号磁盘扇区将被覆盖为病毒自己的MBR。

2. 1号~33号扇区则均被"\x07"字符来填充。

3. 34号扇区开始，则被写入病毒的恶意代码：包括闪动的字符骷髅头、勒索信息、解锁密码相关的验证等。

当病毒完成了上述覆盖磁盘的操作后，便会调用系统的shutdown命令立刻重启机器：

而重启后，大家就会看到本文开头那个闪动的骷髅。之后，会是如下图的勒索信息：

该样本的功能是最简单的，但留下的勒索信息却是最全的。

它要求受害者向该钱包地址发送0.1个比特币（信息中称约合400美元，但按本文撰写时的汇率计算，0.1比特币仅为340美元左右）：

1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX

同时留下了联系邮箱：

rickastley@msgsafe.ninja

rickastley@keemail.me

经分析，该密码为硬编码在病毒代码中的——qVwaofRW5NbLa8gj

但即便输入了该密码，结果依然不乐观——因为之前简单粗暴的将硬编码的代码覆盖到了系统的磁盘中，导致MBR中的分区表部分数据已经损坏。最终结果是即便成功解除了该勒索信息，由于计算机无法识别系统分区，受害者依然无法正常进入操作系统。

不过，对此不必太过担心，市面上有很多第三方的工具可供修复分区表。也可以使用360急救盘来进行修复。

此外，有趣的是——我们还在网络上找到了这款粗暴破坏MBR的病毒的生成器：

也就是说，任何人可以对根据自己的需要随意定制勒索信息内容，并生成一个粗暴破坏MBR的勒索病毒。该生成器在结尾处，还自欺欺人的加了一条"免责条款"：禁止在你自己或其他任何人的计算机上运行该程序。

防护与建议

对上述三款勒索病毒，360均可正常拦截：

此外，给所有用户提出几点防护建议：

1. 企业内部局域网环境复杂，管理人员一定要重视对局域网内部攻击的防御

2. 安装并使用安全软件对电脑进行防护。

3. 及时打补丁，修复系统和软件的安全漏洞。

4. 尽可能使用较新的操作系统，总体而言越是新操作系统其安全性就越高，尤其是较新版本的Windows系统默认均使用了UEFI的启动模式，该模式可在一定程度上免疫破坏MBR的病毒攻击。

来源 360安全卫士