域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

突發(fā)!GhostPetya骷髏頭勒索病毒襲擊半導(dǎo)體行業(yè)

近日,國(guó)內(nèi)半導(dǎo)體行業(yè)爆發(fā)勒索病毒,造成業(yè)務(wù)大面積癱瘓,深信服安全團(tuán)隊(duì)率先接到情報(bào)并進(jìn)行處置,發(fā)現(xiàn)其攻擊手段與早期Petya勒索病毒有相似之處,但又有較大不同,其攻擊方式包括控制域控服務(wù)器、釣魚(yú)郵件、永恒之藍(lán)漏洞攻擊和暴力破解,攻擊力極大,可在短時(shí)間內(nèi)造成內(nèi)網(wǎng)大量主機(jī)癱瘓,中招主機(jī)被要求支付0.1個(gè)比特幣贖金。

深信服已將其命名為GhostPetya骷髏頭勒索病毒,并且制定了完善的防御措施和解決方案。

病毒名稱:GhostPetya

病毒性質(zhì):勒索病毒

影響范圍:已感染多家半導(dǎo)體行業(yè)企業(yè),很可能大規(guī)模爆發(fā)

危害等級(jí):高危

傳播方式:控制域控服務(wù)器、釣魚(yú)郵件、永恒之藍(lán)漏洞攻擊和暴力破解

▲中招主機(jī)彈出骷髏頭

▲中招主機(jī)勒索信息

病毒分析

1.以讀寫(xiě)的模式,打開(kāi)主機(jī)\\.\PhysicalDrive0、\\.\PhysicalDrive1、\\.\PhysicalDrive2、\\.\PhysicalDrive3、\\.\I等磁盤(pán):

2.然后MBR勒索的數(shù)據(jù)寫(xiě)入到這些打開(kāi)的磁盤(pán)空間中:

寫(xiě)入的相關(guān)數(shù)據(jù),如下所示:

顯示的勒索信息,如下所示:

3.然后執(zhí)行重啟系統(tǒng)命令:

4.從感染的主機(jī)中提取出相應(yīng)的MBR數(shù)據(jù),如下所示:

5.感染后的主機(jī),會(huì)先調(diào)用CHKDSK進(jìn)行磁盤(pán)檢測(cè)操作:

調(diào)用磁盤(pán)檢測(cè)信息,如下所示:

完成之后會(huì)彈出勒索圖片閃屏信息。按任意鍵進(jìn)入系統(tǒng),顯示下圖所示的勒索信息,要求受害客戶支付0.1個(gè)BTC進(jìn)行解鎖操作,BTC地址:

1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX

6.對(duì)感染后主機(jī)的MBR進(jìn)行動(dòng)態(tài)調(diào)試,如下所示:

7.經(jīng)過(guò)調(diào)試分析,此感染后的MBR與之前Petya勒索病毒MBR代碼非常相似,調(diào)用int 13中斷,將扇區(qū)1-32從磁盤(pán)加載到內(nèi)存0x8000開(kāi)始的地址,然后轉(zhuǎn)到0x8000執(zhí)行指令,如下所示:

8.循環(huán)讀取$等字符串信息,用于顯示勒索信息圖片,如下所示:

9.顯示勒索圖片信息,如下所示:

設(shè)置屏幕的顯示模式:

然后進(jìn)行閃屏操作:

10.檢測(cè)是否有鍵盤(pán)按鍵信息,如下所示:

11.如果有按鍵信息,則讀取相應(yīng)的勒索信息,彈出信息勒索信息顯示界面:

相應(yīng)的勒索信息數(shù)據(jù),如下所示:

12.循環(huán)檢測(cè)用戶輸入的key:

解決方案

1、隔離感染主機(jī):已中毒計(jì)算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡。

2、切斷傳播途徑:關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口,關(guān)閉異常的外聯(lián)訪問(wèn)。深信服下一代防火墻用戶,可開(kāi)啟IPS和僵尸網(wǎng)絡(luò)功能,進(jìn)行封堵。

3、防止暴力破解:深信服防火墻、終端檢測(cè)響應(yīng)平臺(tái)(EDR)均有防爆破功能,防火墻開(kāi)啟此功能并啟用11080051、11080027、11080016規(guī)則,EDR開(kāi)啟防爆破功能可進(jìn)行防御。

4、查找攻擊源:手工抓包分析或借助深信服安全感知平臺(tái)。

5、查殺病毒:推薦使用深信服EDR進(jìn)行查殺。

6、修補(bǔ)漏洞:打上漏洞相關(guān)補(bǔ)丁,漏洞包括“永恒之藍(lán)”漏洞等。

7、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。

不幸中招的用戶,可以嘗試以下方式進(jìn)行業(yè)務(wù)恢復(fù):

1、進(jìn)入PE模式和制作啟動(dòng)U盤(pán)

工具:

U盤(pán)啟動(dòng)軟件

U盤(pán)(制作啟動(dòng)盤(pán)時(shí)候格式化)

測(cè)試PC為Windows

制作好后U盤(pán)插入PC,開(kāi)機(jī)進(jìn)入PE模式有兩種方法:

(1) 開(kāi)機(jī)后按F12,進(jìn)入啟動(dòng)項(xiàng)選擇U盤(pán)啟動(dòng)(不同的主機(jī)按鍵不一樣,可自行網(wǎng)上查詢);

進(jìn)入BIOS系統(tǒng)中 (測(cè)試主機(jī)為FN+F12進(jìn)入,不同主機(jī)快捷鍵不同,建議根據(jù)主機(jī)情況進(jìn)行網(wǎng)上查詢快捷鍵)選擇U盤(pán)啟動(dòng):

然后進(jìn)入如下圖界面,由于測(cè)試的PC是windows7系統(tǒng),所以選擇第[02]選項(xiàng)(根據(jù)中毒的PC情況來(lái)選項(xiàng)):

2、恢復(fù)數(shù)據(jù)

步驟1:接入運(yùn)行桌面上的 DiskGenius軟件,找到中毒PC的硬盤(pán)(一般為500G和1TB左右) :

步驟2:點(diǎn)擊鼠標(biāo)右鍵運(yùn)行“搜索已丟失分區(qū)(重建分區(qū)表)”:

步驟3:如果在搜索期間,彈出“搜索到分區(qū)框”記得點(diǎn)擊保留。

步驟4:最后可以看到數(shù)據(jù)恢復(fù)了,接著需要“點(diǎn)擊保存”:

3、重建MBR

正常情況下數(shù)據(jù)恢復(fù)后重啟系統(tǒng)的話,mbr還是不能正確引導(dǎo)系統(tǒng)啟動(dòng),所以這個(gè)時(shí)候需要緊接著修復(fù)mbr,點(diǎn)擊鼠標(biāo)右鍵運(yùn)行“重建主導(dǎo)記錄MBR”,這個(gè)時(shí)候會(huì)新建MBR:

這時(shí)候重新啟動(dòng)系統(tǒng)就可以恢復(fù)了。

4、其它事項(xiàng)(注意)

恢復(fù)數(shù)據(jù)流程

步驟2:運(yùn)行在“搜索已丟失分區(qū)(重建分區(qū)表)”,當(dāng)軟件一直正在搜索情況下不要停止搜索后再次(重建分區(qū)表),否則第2次搜索完后丟失的數(shù)據(jù)可能會(huì)丟失部分。

步驟4:注意個(gè)別PC會(huì)存在系統(tǒng)C盤(pán)恢復(fù)不回來(lái),這個(gè)時(shí)候可以直接插入備份U盤(pán)拷貝其它盤(pán)的數(shù)據(jù)出來(lái)后重裝系統(tǒng))。

重建MBR流程

方法1:在DiskGenius上新建,上文已提到;

方法2:進(jìn)入PE模式后,點(diǎn)擊左下角的引導(dǎo)修復(fù)--Bootice(引導(dǎo)扇區(qū)恢復(fù)工具)—主引導(dǎo)記錄(M)-=選擇Windows NT5.X/6.X MBR--點(diǎn)擊安裝/配置:

注意: 存在個(gè)別情況就是數(shù)據(jù)恢復(fù)回來(lái),但是C盤(pán)的恢復(fù)不了或者新建MBR后正常開(kāi)機(jī)不了,這個(gè)時(shí)候可以在PE模式下把其它盤(pán)的重要數(shù)據(jù)拷貝出來(lái)重裝系統(tǒng)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！