警告：新的 Petya 勒索软件如何加密您的文件

6月27日晚，一波大规模勒索病毒蠕虫攻击浪潮再次席卷全球。

据雷锋网报道，包括欧洲、俄罗斯在内的多个国家的政府、银行、电力系统、通信系统、企业和机场都受到了不同程度的影响。

阿里云安全团队第一时间获取病毒样本并进行分析：

这是一种新型的勒索软件。 当计算机和服务器感染该病毒时，某些类型的文件会被加密，导致系统无法正常运行。 目前，该勒索蠕虫通过Windows漏洞传播，一名受害者可能感染局域网内的其他计算机。

一、Petya和WannaCry病毒的比较

1.加密目标文件类型

Petya 加密的文件类型比 WannaCry 少。

Petya 加密的文件类型共有 65 种，WannaCry 加密的文件类型有 178 种，但它们已经包含了常见的文件类型。

2.支付赎金

Petya需要支付300美元，WannaCry需要支付600美元。

2、云用户是否受到影响？

截至发稿，云端暂未发现受影响用户。

6月28日凌晨，阿里云发布公告预警。

三、勒索病毒传播方式分析

Petya勒索病毒通过Windows漏洞传播比特币文件什么后缀，感染局域网内的其他计算机。 计算机感染Petya勒索病毒后，某些类型的文件会被加密，导致计算机无法正常运行。

阿里云安全专家发现，Petya勒索病毒主要在内网系统中通过Windows协议横向移动。 主要通过Windows管理架构（Microsoft Windows Management Instrumentation）和PSEXEC（SMB协议）传播。

截至目前，黑客的比特币账户（1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX）只有3.39个比特币（1比特币=2459美元）比特币文件什么后缀，交易33笔，说明部分用户已经支付了赎金。

4. 技术与加密过程分析

阿里云安全专家在研究Petya样本后发现，操作系统被感染后，重启后会导致无法进入系统。 下图显示了伪装成病毒的磁盘扫描程序。

Petya病毒对勒索对象的加密分为以下七步：

首先，函数 sub_10001EEF 是加密操作的入口点。 遍历所有磁盘，为每个固定磁盘创建一个线程，进行文件遍历和加密操作。 线程参数是一个包含公钥和磁盘根路径的结构。

然后，在线程函数（StartAddress）中，先获取key容器，

pszProvider="Microsoft 增强型 RSA 和 AES 加密提供程序"

dwProvType=PROV_RSA_AES 提供商是 RSA_AES。

调用sub_10001B4E通过CryptGenKey生成一个AES128的密钥，用于后面的文件加密。

如果密钥生成成功，则调用sub_10001973和sub_10001D32，分别是遍历磁盘加密文件和保存密钥的函数。

在sub_10001973函数中，判断只对特定的文件后缀进行加密。

sub_10001D32函数是将密钥加密后写入到磁盘根路径下的README.TXT文件中。

该函数一开始调用sub_10001BA0获取内置公钥

之后调用sub_10001C7F推导出AES密钥，在本函数中用之前的公钥加密。

最后在README.TXT中写入一段提示支付的文字，并将加密后的密钥写入其中。

因为密钥是通过程序内置的公钥加密的，所以被勒索的对象必须有黑客的私钥才能解密。 这也导致了勒索软件加密的不可逆性。

五、安全建议

目前勒索者使用的邮箱已经关闭，不建议支付赎金。

1、所有在IDC托管或自建机房有服务器的企业，如果使用Windows操作系统，请立即安装微软补丁。

2. 对于大型企业或机构，面对成百上千台机器，最好使用专业的客户端进行集中管理。 例如，阿里云的安全骑士提供了实时预警、防御、一键修复等功能。

3. 可靠的数据备份可以将勒索软件造成的损失降到最低。 建议做好数据备份，同时做好安全防护，避免感染和损坏。

【白求恩，在数据安全第一线为您保驾护航】

推荐大家使用云和恩墨的免费自动检测工具白求恩（Bethune）。 本工具是一款基于云平台的免费工具。 在帮你查看数据库基本情况的同时，它还内置了安全检查功能。 补丁、访问源、访问工具等维度分析，帮助用户快速梳理数据库安全状况，让您掌握一手数据库安全咨询，为您的系统在数据安全第一线保驾护航！

加入“云和恩墨大讲堂”参与讨论学习