6月27日晚間，代號為「Petya」的勒索病毒肆虐全球，根據外國媒體報道，俄羅斯石油公司Rosneft、烏克蘭國家儲蓄銀行和政府系統都受到了攻擊，僅俄、烏兩國就有80多家公司被該病毒感染，就連烏克蘭副總理的電腦也不幸中招。其他受影響的國家包括英國、印度、荷蘭、西班牙、丹麥等。

經過深度分析，火絨安全團隊驚訝地發現，Petya和以往的勒索病毒有很大不同——病毒作者精心設計製作了傳播、破壞的功能模塊，勒索贖金的模塊卻製作粗糙、漏洞百出，稍有勒索病毒的常識就知道，病毒作者幾乎不太可能拿到贖金——或者說，病毒作者根本沒打算得到贖金。

這種行為非常不可思議，火絨安全工程師認為，與其說Petya是勒索病毒，不如說它是披著勒索病毒外衣的反社會人格的惡性病毒，就像當然臭名昭著的CIH等惡性病毒一樣，損人不利己，以最大範圍的傳播和攻擊破壞電腦系統為目的。

從傳播能力來看，進入內網環境的Petya傳播方式非常豐富：利用「永恆之藍」和「永恆浪漫」兩個漏洞進行傳播；還通過內網滲透使用系統的WMIC和Sysinternals的PsExec傳播……所以，即使電腦修復了「永恆之藍」漏洞，只要內網有中毒電腦，仍有被感染的危險。因此，Petya的傳播能力和威脅範圍遠遠超過5月份震驚世界的WannaCry病毒。

從破壞能力來看， Petya除了像其他勒索病毒一樣加密鎖定文件之外，還會修改硬碟主引導記錄（MBR）、加密硬碟文件分配表（MFT），導致電腦不能正常啟動。

Petya病毒開出了常規的價值300美金的比特幣贖金，但是卻沒有像常規勒索病毒一樣向受害者提供可靠、便捷的付款鏈接，而是選擇用公開的電子信箱來完成贖金支付，很顯然，這樣做特別粗糙和脆弱。病毒爆發後，郵件賬戶立刻被供應商Posteo關閉，導致贖金交付的流程中斷。相比於「精巧」、多樣的傳播和破壞功能，病毒作者對贖金支付功能很不重視，用一種不可靠、簡單的方式「敷衍了事」，似乎並不關心能否收到贖金。

目前全球範圍內沒有一例成功支付贖金，進而解鎖了文件和系統的報告。該病毒不光和其他勒索病毒迥然不同，更是違逆了近10多年來，各種病毒、木馬大都已牟利為目的的「行業潮流」。

在病毒爆發的第一時間，火絨安全團隊就緊急升級了病毒庫。下載「火絨安全軟體」，保持默認的自動升級和防禦設置即可攔截病毒。最後再強調一句，鑒於贖金支付流程已經中斷，火絨安全團隊建議受害者別再去嘗試支付贖金。

火絨團隊通過分析發現，此次攻擊事件同上次的「WannaCry」類似，利用漏洞使得傳播速度更快，但是對勒索病毒更應該關注的支付贖金流程都是草草處理，這一點很奇怪。尤其是新「Petya」，在內網傳播功能上病毒更是花費了心思。

新舊兩個版本的「Petya」相比，舊版本「Petya」的更像是一個真正的勒索病毒，在支付贖金的手段上，它會為不同用戶生成不同的暗網地址用戶支付贖金。而新版本的「Petya」反而弱化了支付贖金流程，只是提供了一個簡單的郵箱和黑客聯繫，如果病毒的目的是為了勒索，是舊版本的「Petya」升級，應該沒有必要去掉這個流程。

舊版本「Petya」的支付贖金界面

新版本「Petya」的支付贖金界面

另外」WannaCry」和新「Petya」兩個病毒通過勒索文件所得到的贖金有限，幾乎所有的安全專家第一時間都建議不要支付贖金。普遍認為的原因是，在勒索病毒「Petya」蔓延後， 電郵提供商Posteo直接封掉了「Petya」黑客收取贖金時用到的電子郵箱帳號。病毒製作者無法收到郵件，也就無法提供解密密鑰。火絨團隊分析後認為，更深的原因是即使該郵箱存在，使用郵件方式去確認感染數量眾多的用戶是否支付贖金，也不合乎常理。

病毒作者留下的聯繫郵箱，和模擬舊版本「Petya」相似的勒索界面還有加密方法，更像是一個個的「幌子」，用於掩蓋病毒瘋狂傳播造成更大「破壞」的目的。

新「Petya」病毒到底是利用CVE2017-0199漏洞攻擊，或是利用MEDOC更新伺服器推送病毒，無論這兩種說法哪一個真的，都可以說明黑客精心設計和製作的攻擊都不像是為了賺取贖金，更像是為了快速傳播並造成更多損害。

新「Petya」的作者熟悉內網滲透流程，同「WannaCry」的傳播相比，即使安裝了Windows的全部補丁也不能阻止新「Petya」在內網的傳播。「WannaCry」和「Petya」兩次病毒的大面積爆發，更像是黑客攻擊「預演」和「實戰」，是黑客對所有人的「力量展示」。

三、 新「Petya」的傳播分析

Petya病毒除了使用通過漏洞進行傳播之外，還具有很強的內網滲透能力。其主要的內網傳播方式主要有：

1. 該病毒維護著一個主機密碼錶，通過CredEnumerateW函數獲取用戶憑據和使用mimikatz工具獲取用戶名密碼這兩種方式對密碼錶進行填充。其獲取的密碼錶會在用於進行傳播並使用wmic和psexec進行遠程執行。

2. 將其所有可以訪問的主機都加入到另一個列表中，對列表中的每一個主機都進行一次遠程傳播和執行的嘗試。由於同屬於同一區域網中，有可能在被感染主機上依然存在對其他主機的網路訪問許可權，病毒利用該許可權對內網環境進行傳播。

3. 通過EnternalBlue和EnternalRomance漏洞進行傳播。

下面針對上述三種傳播方式進行詳細說明：

1. 通過竊取密碼進行遠程傳播和執行。

首先調用釋放出來的mimikatz獲取本地計算機用戶名密碼，之後通過讀取命名管道的方式進行讀取加入到密碼錶中。如下圖所示：

釋放調用mimikatz獲取用戶名密碼

通過命名管道讀取密碼

通過調用CredEnumerateW函數通過Windows的憑據管理器獲取系統中保存的用戶憑據，當獲取遍歷到的CREDENTIAL結構中的Type欄位為CERD_TYPE_GENERIC時就將當前結構中的UserName和CredentialBlob以用戶名和密碼的形式存放在密碼錶中。如下圖所示：

獲取用戶憑據

利用密碼錶遠程進行遠程登錄，登錄後進行病毒傳播，並通過wmic和psexec兩種方式對病毒進行遠程執行，如下圖所示：

傳播代碼

遠程傳播執行

2. 病毒通過三種不同的方式獲取當前主機可以訪問的有效主機地址加入IP列表，而不是像WannaCry病毒一樣低效的進行IP遍歷，此舉大大的提高了區域網傳播效率。如下圖所示：

獲取可訪問主機地址

如上圖紅框中所示部分，其分別調用GetExtendedTcpTable、GetIpNetTable和NetServerEnum函數將可訪問的主機地址加入到IP列表中。如下圖所示：

利用GetExtendedTcpTable函數獲取主機地址

利用GetTcpNetTable函數獲取主機地址

利用NetServerEnum函數獲取主機地址

在獲取到IP列表之後，其會想之前利用密碼列表進行傳播一樣，進行傳播並利用wmic和psexec進行遠程執行。如果當前系統用戶擁有對其他計算機訪問的許可權，那麼就可以傳播成功，從而提高了內網傳播的可能性。

利用IP列表嘗試傳播

3. 利用之前獲取到的IP列表進行漏洞傳播，相關代碼如下圖所示：

漏洞傳播代碼

漏洞Payload

四、 新「Petya」的危害分析

勒索主要模塊是一個動態庫，火絨檢測名稱是「Ransom/Petya.b」，該動態庫只有一個未命名的導數函數，該導出函數會被rundll32.exe調用，執行後勒索流程為分為兩個部分，如下圖所示：

病毒行為

1. 修改MBR代碼，這段代碼會在用戶重啟後加密MFT（Master File Table）

2. 在重啟前針對特定後綴名的用戶文件加密

3. 添加計劃任務，定時進行重啟用於執行起MBR代碼。

我們順著加密流程進行代碼分析：

1. 桌面環境加密流程分析

病毒首先會遍歷所有磁碟，對每個固定磁碟創建一個線程執行文件遍歷，文遍歷時會判斷文件後綴，針對特殊目錄該病毒硬編碼跳過了"C:windows"目錄，不會對該目錄下的任何文件進行加密。

與加密相關的數據

該病毒只生成一次AES128密鑰，用於加密所有文件。

加密流程

2、開機啟動加密流程分析

被病毒替換的MBR啟動後，會顯示偽造的系統修復界面，如下圖所示：

此時病毒已經通過保存的原始MBR查找到磁碟的MFT（MasterFile Table），在後台進行加密，代碼如下圖：

查找MFT

通過分析可以看出，在此時拔掉電源可以挽救加密MFT，但並不能挽回之前在桌面環境下已經被加密的用戶文件。病毒加密完MFT之後會顯示勒索界面，要求用戶支付贖金後通過病毒作者留下的郵箱聯繫作者取得密鑰，如下圖：

勒索說明文字

用戶輸入得到的界面KEY後，進入如下流程：

獲取輸入

校驗KEY長度，最小長度為0x20。

校驗KEY長度

校驗用戶輸入的KEY是否正確，如果不正確，則次要求輸入，直到用戶輸入正確後才會解密被加密的MFT。

校驗KEY

但是該解密密鑰和桌面環境下加密文件的密鑰沒有直接關係，如需解密被加密的數據文件，則需要病毒作者提供另外的解密工具進行解密。

通過對新「Petya」分析，可以看到與一般勒索病毒相比，作者更熟悉內網滲透流程，在傳播上花費了極大的心思。傳播相關代碼佔到了病毒整個代碼的70%以上，和「WannaCry」僅通過「永恆之藍」這單一漏洞傳播相比，新「Petya」還利用了「Shadow Brokers」泄露的另一個漏洞「永恆浪漫「。除了利用漏洞利用外，病毒還使用多種方式獲取用戶密鑰或憑證進行內網滲透，即使安裝了全部補丁的Windows系統，也不能阻止新「Petya」在內網的傳播。

截至到目前為止，火絨沒有監控到新「Petya」的真正變種，更多的都是加殼和修改版。病毒作者似乎銷聲匿跡，這一點上和「WannaCry」也非常相似，一樣是瘋狂傳播，一樣是沒有通過贖金真正獲利，但是對全球造成的破壞確是存在的。

「WannaCry」和「Petya」這兩次相似病毒的大面積爆發，更像是黑客攻擊「預演」和「實戰」，是對所有人的「力量展示」。

文中涉及樣本SHA256：