Petya及Notpetya的核心差异分析

这段时间针对恶意软件NotPetya的分析文章已经出了很多了,这篇文章的内容相当于只是对目前已存在内容的一次补充,而本文所要讨论的重点就是Petya和Notpetya这两款新型勒索软件之间的核心差异。

在几个月之前,我曾发表过一篇关于“Petya感染MBR(主引导记录)”的文章。在那篇文章中,我解释了勒索软件感染计算机启动过程的方法,以及它是如何执行自己的内核代码的。而在今天这篇文章中,我将给大家介绍这两款恶意软件之间所存在的关键技术差异。

差别#1:XOR密钥

Petya和NotPetya都会读取MBR,并使用一个简单的XOR密钥来对MBR进行加密。但两者之间的区别就在于,Petya使用0x37来作为加密密钥,而NotPetya使用的是0x07。

Petya的加密密钥:

NotPetya的加密密钥:

差别#2:迷你内核的扇区空间

Petya运行的是迷你内核代码,而并非原始内核代码。这些代码负责处理整个加密过程、伪造CHKDSK信息、以及显示骷髅头和勒索信息。NotPetya的迷你内核负责的事情跟Petya差不多,只不过它不负责显示那个闪烁的骷髅头而已。

除此之外,Petya的迷你内核代码从扇区0x22开始,而NotPetya的却是从扇区0x02(紧邻MBR扇区)开始。

差别#3:重启风格

在向受感染磁盘中写入了MBR和迷你内核代码之后,Petya和NotPetya都会通过让受感染系统重启来激活恶意软件的第二个感染阶段。

Petya在初始化重启过程时使用的是NtRaiseHardErrorAPI,而NotPetya使用了CreateProcessW API来发送命令“shutdown.exe /r /f”,并通过这行命令实现了计划重启。

Petya的重启过程:

NotPetya的重启过程:

差别#4:显示骷髅头

Petya在伪造CHKDSK的操作完成之后便会在目标用户的屏幕上显示一个红色的骷髅头。NotPetya在完成了磁盘加密操作之后同样会显示伪造的CHKDSK信息,但在此之后并不会显示骷髅图案。

下图显示的是Petya的虚拟内存截图,其中包含有伪造CHKDSK的字符串信息、勒索信息、以及扭曲的骷髅头图形。

Petya的虚拟内存截图:

下图显示的是NotPetya的虚拟内存截图,其中包含有用于伪造CHKDSK的数据以及相关的勒索信息,而原本应该包含骷髅头图案的那部分空间却是空白的。

Petya的虚拟内存截图:

差别#5:勒索信息

Petya和NotPetya的勒索信息是完全不同的,具体请看下面给出的截图。

Petya的勒索信息:

NotPetya的勒索信息:

总结

虽然Petya和NotPetya有这么多的不同之处,但从其他角度来看,它们两个也有很多相似的地方。比如说在破坏性方面,它们两个的杀伤力都是非常强的,而且两者都会通过重写MBR来使受感染设备瘫痪。

对付这种类型的恶意软件,最好的方法就是将你的重要文件进行离线存储。需要注意的是,无论你不小心感染了这两种勒索软件的哪一种,你都不要轻易地按照攻击者的要求支付赎金,因为就算你支付了赎金也没人能够保证你能够拿回那些属于你的文件。

IoC

Petya:

MD5: af2379cc4d607a45ac44d62135fb7015
Detection: W32/Petr.A!tr

NotPetya:

MD5: 71b6a493388e7d0b40c83ce903bc6b04
Detection: W32/Petya.EOB!tr

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-07-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云上大文件传输

腾讯云海外数据中心到腾讯云广州-文件传输对比评测集合

近日,我们针对腾讯云海外各数据中心到腾讯云广州,做了一系列大文件传输对比评测。

36860
来自专栏区块链

2018年:8个最好的WiFi黑客软件和分析工具

2017年是黑客猖狂的一年,各种勒索病毒层出不穷,大规模数据泄露频发。 安全分析和渗透测试是创建任何类型的安全网络不可或缺的组成部分,这其中的一个必备工具就是W...

57780
来自专栏Seebug漏洞平台

D-Link 路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告

0x00 背 景 D-Link(即友讯网络)[1],一家生产网络硬件和软件产品的企业,主要产品有交换机、无线产品、宽带产品、网卡、路由器、网络摄像机和网络安...

464130
来自专栏CaiRui

广域网与Internet

3.1 广域网络技术 1. (1)广域网:局域网之间通过网桥、网关或路由器等网络连接设备进行连接而形成的大型网络。同类型局域网络可用网桥连接,也可以用网管或路由...

212100
来自专栏FreeBuf

国产工具:渗透测试助手PKAV HTTP Fuzzer发布

渗透测试的各位高手们,是不是还在为找不到一个好帮手而郁闷呢?别郁闷了,我来帮你!PKAV HTTP Fuzzer绝对是一你一用就会爱上的好帮手! 但是我们开发这...

1.3K100
来自专栏互联网开发者交流社区

HTML+CSS-淘宝网页

23440
来自专栏安恒信息

研究人员发现攻击4G无线上网卡和SIM卡的方法

Positive Technologies的研究者在欧洲黑客联盟(Chaos Computer Club)会议上披露了4G USB无线上网卡中存在漏洞,攻击者可...

30860
来自专栏FreeBuf

谁蹭了我的WiFi?浅谈家用无线路由器攻防

家用无线路由器作为家庭里不可或缺的网络设备,在给普通人带来极大便利的同时,也给处于互联网时代的我们带来了很多安全隐患,本文将针对普通家用无线路由器的常见攻击过程...

38470
来自专栏FreeBuf

基于ArduinoLeonardo板子的BadUSB攻击实战

前言 在Freebuf上许多同学已经对HID攻击谈了自己的看法,如维克斯同学的《利用Arduino快速制作Teensy BadUSB》无论从科普还是实践都给我们...

41170
来自专栏FreeBuf

维基解密更新:CIA新工具HighRise可轻松窃取安卓设备短信

本周四,维基解密又更新了一款CIA Vault 7 系列新工具 HighRise(摩天大楼)。这是一款安卓恶意程序,可以拦截 SMS 消息并将其重定向至远程的 ...

33060

扫码关注云+社区

领取腾讯云代金券