域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
突發(fā)!GhostPetya骷髏頭勒索病毒襲擊半導(dǎo)體行業(yè)
近日,國(guó)內(nèi)半導(dǎo)體行業(yè)爆發(fā)勒索病毒,造成業(yè)務(wù)大面積癱瘓,深信服安全團(tuán)隊(duì)率先接到情報(bào)并進(jìn)行處置,發(fā)現(xiàn)其攻擊手段與早期Petya勒索病毒有相似之處,但又有較大不同,其攻擊方式包括控制域控服務(wù)器、釣魚郵件、永恒之藍(lán)漏洞攻擊和暴力破解,攻擊力極大,可在短時(shí)間內(nèi)造成內(nèi)網(wǎng)大量主機(jī)癱瘓,中招主機(jī)被要求支付0.1個(gè)比特幣贖金。
深信服已將其命名為GhostPetya骷髏頭勒索病毒,并且制定了完善的防御措施和解決方案。
病毒名稱:GhostPetya
病毒性質(zhì):勒索病毒
影響范圍:已感染多家半導(dǎo)體行業(yè)企業(yè),很可能大規(guī)模爆發(fā)
危害等級(jí):高危
傳播方式:控制域控服務(wù)器、釣魚郵件、永恒之藍(lán)漏洞攻擊和暴力破解
▲中招主機(jī)彈出骷髏頭
▲中招主機(jī)勒索信息
病毒分析
1.以讀寫的模式,打開主機(jī)\\.\PhysicalDrive0、\\.\PhysicalDrive1、\\.\PhysicalDrive2、\\.\PhysicalDrive3、\\.\I等磁盤:
2.然后MBR勒索的數(shù)據(jù)寫入到這些打開的磁盤空間中:
寫入的相關(guān)數(shù)據(jù),如下所示:
顯示的勒索信息,如下所示:
3.然后執(zhí)行重啟系統(tǒng)命令:
4.從感染的主機(jī)中提取出相應(yīng)的MBR數(shù)據(jù),如下所示:
5.感染后的主機(jī),會(huì)先調(diào)用CHKDSK進(jìn)行磁盤檢測(cè)操作:
調(diào)用磁盤檢測(cè)信息,如下所示:
完成之后會(huì)彈出勒索圖片閃屏信息。按任意鍵進(jìn)入系統(tǒng),顯示下圖所示的勒索信息,要求受害客戶支付0.1個(gè)BTC進(jìn)行解鎖操作,BTC地址:
1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX
6.對(duì)感染后主機(jī)的MBR進(jìn)行動(dòng)態(tài)調(diào)試,如下所示:
7.經(jīng)過(guò)調(diào)試分析,此感染后的MBR與之前Petya勒索病毒MBR代碼非常相似,調(diào)用int 13中斷,將扇區(qū)1-32從磁盤加載到內(nèi)存0x8000開始的地址,然后轉(zhuǎn)到0x8000執(zhí)行指令,如下所示:
8.循環(huán)讀取$等字符串信息,用于顯示勒索信息圖片,如下所示:
9.顯示勒索圖片信息,如下所示:
設(shè)置屏幕的顯示模式:
然后進(jìn)行閃屏操作:
10.檢測(cè)是否有鍵盤按鍵信息,如下所示:
11.如果有按鍵信息,則讀取相應(yīng)的勒索信息,彈出信息勒索信息顯示界面:
相應(yīng)的勒索信息數(shù)據(jù),如下所示:
12.循環(huán)檢測(cè)用戶輸入的key:
解決方案
1、隔離感染主機(jī):已中毒計(jì)算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡。
2、切斷傳播途徑:關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口,關(guān)閉異常的外聯(lián)訪問(wèn)。深信服下一代防火墻用戶,可開啟IPS和僵尸網(wǎng)絡(luò)功能,進(jìn)行封堵。
3、防止暴力破解:深信服防火墻、終端檢測(cè)響應(yīng)平臺(tái)(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則,EDR開啟防爆破功能可進(jìn)行防御。
4、查找攻擊源:手工抓包分析或借助深信服安全感知平臺(tái)。
5、查殺病毒:推薦使用深信服EDR進(jìn)行查殺。
6、修補(bǔ)漏洞:打上漏洞相關(guān)補(bǔ)丁,漏洞包括“永恒之藍(lán)”漏洞等。
7、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。
不幸中招的用戶,可以嘗試以下方式進(jìn)行業(yè)務(wù)恢復(fù):
1、進(jìn)入PE模式和制作啟動(dòng)U盤
工具:
U盤啟動(dòng)軟件
U盤(制作啟動(dòng)盤時(shí)候格式化)
測(cè)試PC為Windows
制作好后U盤插入PC,開機(jī)進(jìn)入PE模式有兩種方法:
(1) 開機(jī)后按F12,進(jìn)入啟動(dòng)項(xiàng)選擇U盤啟動(dòng)(不同的主機(jī)按鍵不一樣,可自行網(wǎng)上查詢);
進(jìn)入BIOS系統(tǒng)中 (測(cè)試主機(jī)為FN+F12進(jìn)入,不同主機(jī)快捷鍵不同,建議根據(jù)主機(jī)情況進(jìn)行網(wǎng)上查詢快捷鍵)選擇U盤啟動(dòng):
然后進(jìn)入如下圖界面,由于測(cè)試的PC是windows7系統(tǒng),所以選擇第[02]選項(xiàng)(根據(jù)中毒的PC情況來(lái)選項(xiàng)):
2、恢復(fù)數(shù)據(jù)
步驟1:接入運(yùn)行桌面上的 DiskGenius軟件,找到中毒PC的硬盤(一般為500G和1TB左右) :
步驟2:點(diǎn)擊鼠標(biāo)右鍵運(yùn)行“搜索已丟失分區(qū)(重建分區(qū)表)”:
步驟3:如果在搜索期間,彈出“搜索到分區(qū)框”記得點(diǎn)擊保留。
步驟4:最后可以看到數(shù)據(jù)恢復(fù)了,接著需要“點(diǎn)擊保存”:
3、重建MBR
正常情況下數(shù)據(jù)恢復(fù)后重啟系統(tǒng)的話,mbr還是不能正確引導(dǎo)系統(tǒng)啟動(dòng),所以這個(gè)時(shí)候需要緊接著修復(fù)mbr,點(diǎn)擊鼠標(biāo)右鍵運(yùn)行“重建主導(dǎo)記錄MBR”,這個(gè)時(shí)候會(huì)新建MBR:
這時(shí)候重新啟動(dòng)系統(tǒng)就可以恢復(fù)了。
4、其它事項(xiàng)(注意)
恢復(fù)數(shù)據(jù)流程
步驟2:運(yùn)行在“搜索已丟失分區(qū)(重建分區(qū)表)”,當(dāng)軟件一直正在搜索情況下不要停止搜索后再次(重建分區(qū)表),否則第2次搜索完后丟失的數(shù)據(jù)可能會(huì)丟失部分。
步驟4:注意個(gè)別PC會(huì)存在系統(tǒng)C盤恢復(fù)不回來(lái),這個(gè)時(shí)候可以直接插入備份U盤拷貝其它盤的數(shù)據(jù)出來(lái)后重裝系統(tǒng))。
重建MBR流程
方法1:在DiskGenius上新建,上文已提到;
方法2:進(jìn)入PE模式后,點(diǎn)擊左下角的引導(dǎo)修復(fù)--Bootice(引導(dǎo)扇區(qū)恢復(fù)工具)—主引導(dǎo)記錄(M)-=選擇Windows NT5.X/6.X MBR--點(diǎn)擊安裝/配置:
注意: 存在個(gè)別情況就是數(shù)據(jù)恢復(fù)回來(lái),但是C盤的恢復(fù)不了或者新建MBR后正常開機(jī)不了,這個(gè)時(shí)候可以在PE模式下把其它盤的重要數(shù)據(jù)拷貝出來(lái)重裝系統(tǒng)。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!