卡巴斯基实验室研究员发现,近期一勒索软件家族PetrWrap,利用臭名昭著的Petya勒索软件加密用户数据,并动态修改了软件,控制其执行进程。不过勒索软件Petya也不是什么好东西。
Petya是去年3月出现的,当时立刻引起了研究人员的注意,因为它能够操控主引导记录(MBR),控制机器,而不像其他勒索软件那样加密用户的文件。不久,Petya与Mischa勒索软件狼狈为奸,演变为勒索软件即服务(RaaS)。
PetrWrap勒索软件绑架了Petya勒索软件
最新出现的这款勒索软件名为PetrWrap(Trojan-Ransom.Win32.PetrWrap),利用Petya进行恶意活动,但并非基于RaaS。它通过手动模式传播:幕后操控者将目标对准某组织的网络,入侵后使用合法的PsExec工具在所有终端与服务器上安装勒索软件。
这款新恶意软件使用C语言,用微软的Visual Studio编译,加入了一个特殊模块,可使用第三版Petya样本感染目标机器,但是在其运行期间修改了代码,以控制执行进程。据来自卡巴斯基的Anton Ivanov和Fedor Sinitsyn所说,该威胁具有自己的加密程序。
PetrWrap勒索软件的工作机制
启动后,PetrWrap推迟至一个半小时后执行。之后,解密数据部分,获得Petya的主要动态链接库(DLL),准备调用已导出的ZuWQdweafdsg345312函数。调用函数后,Petya就为下一步操作做好了准备,开始覆盖MBR。因为PetrWrap需要首先Hook几个Petya函数,所以要阻止它自动运行。
接下来,它做了必要的密码计算,Hook了两个Petya过程,然后将执行结果传递给Petya。PetrWrap用独立的实现完整替换了Petya的ECDH部分,这样就可以使用自己的私钥和公钥。这款勒索软件具有内置公钥,为每次感染生成一对会话密钥,计算ecdh_shared_digest,截获Petya的Salsa密钥并用ecdh_shared_digest进行加密,构造user_id,然后将该ID传递给Petya,后者将其作为自己的数据使用。
PetrWrap软件Hook了Petya的两个过程,并用自己的过程进行替换。这样,就保存了Petya生成的Salsa密钥以便后续使用;它还对Petya的bootloader代码和勒索文本进行增补,将执行结果传递给原有过程,调用这个过程,生成user_id,替换Petya的ID字符串。
经过这些改动,PetrWrap就可以锁定受害者的机器,安全地加密NTFS分区的MFT,显示锁屏画面,而对Petya只字不提(也没有闪烁的骷髅动画)。另外,使用这个方法, PetrWrap开发者可加密bootloader,而无需写自己的代码。
卡巴斯基称PetrWrap勒索软件目前无法解密
该勒索软件族使用强加密算法,所以受害者没有现成的免费解密工具可用。不过,卡巴斯基表示,受害者可以尝试使用R-Studio之类的第三方工具恢复文件。卡巴斯基总结道:
“以加密数据为主要目的的定向攻击越来越流行。应用勒索软件的定向攻击一般试图发现有漏洞或对RDP访问没有进行保护的服务器。在进入组织的网络后,攻击者使用Mimikatz之类的框架来获取必要凭证,以便在全网安装勒索软件。”
如果转载,请注明出处及本文链接:
http://toutiao.secjia.com/petrwrap-ransomware-hijacked-petya-ransomware
如果此文章侵权,请留言,我们进行删除。
0day
文章评论