標籤: EternalBlue

有一波大規模的 Petya 勒索病毒變種四處肆虐當中，目前傳出的災情以歐洲最為嚴重。趨勢科技已將此變種命名為 RANSOM_PETYA.SMA，相比五月造成全球大恐慌的WannaCry勒索病毒，Petya 散播的管道主要有兩種：其一為同樣利用透過微軟的安全性弱點：MS17-010 – Eternalblue 針對企業及消費者進行勒索攻擊，而與上次WannaCry不同的是，本次 Petya入侵電腦後，會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定，並建立排程工作於一小時內重新開機，一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗，無法進行其他操作。

去年趨勢科技資安部落格曾經介紹過Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!該惡意程式透過發散布一封看似要應徵某項工作的電子郵件散播,受害電腦會出現藍色當機畫面，一旦電腦重新開機時會顯示骷髏頭畫面勒索訊息。這次爆發的變種讓歐洲國家重災區，報導指出多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷。

另一個值得注意的攻擊管道為其駭客利用微軟官方的 PsExec 遠端執行工具，以「進階持續性滲透攻擊」（Advanced Persistent Threat，APT攻擊）手法入侵企業，一旦入侵成功，將可潛伏於企業內部網路中並感染控制企業內部重要伺服器，進一步發動勒索病毒攻擊，對企業內部機密資料進行加密勒索，以達到牟利之目的。

趨勢科技建議一般使用者和企業機構應採取以下三個防範措施來避免感染：

1. 套用 MS17-010 修補更新
   無論是企業用戶或是消費者，都建議安裝更新電腦作業系統最新的修補程式，尤其是跟安全性弱點MS17-010 EternalBlue 相關的安全性修補程式，此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 Windows Server Message Block (SMB) ，正確配置SMB服務才能免於受到此次攻擊影響。
2. 停用 TCP 連接埠 445 ( 請參考)
3. 企業用戶應嚴格管制擁有系統管理權限的使用者群組

此外，趨勢科技 XGen™ 防護當中的預測式機器學習以及其他勒索病毒相關防護功能，目前已可防止這項威脅並保護客戶安全。我們將繼續深入分析這項威脅，一有最新情況就會立即更新訊息。

感染過程

前面提到，該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。並且還會搭配 EternalBlue 這個之前 WannaCry(想哭)勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統，就會利用 rundll32.exe 來執行其程式碼。其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat 」的檔案內。

接下來，勒索病毒會新增一個排程工作，讓系統至少在一個小時之後就會重新啟動，並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。一開始，病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面，但其實就是病毒程式。有別於一般勒索病毒的作法，該病毒並不會修改被加密檔案的副檔名。它可加密的檔案類型超過 60 多種，但其主要目標為企業環境常用的檔案，至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。 繼續閱讀