Petya勒索病毒新变种详细分析报告
腾讯平安反病毒实验室的哈勃分析系统已得到证实Petya勒索病毒样本通过永恒的蓝色传播。根据病毒的恶意行为,哈勃已经能够识别病毒,并将其判定为高风险。腾讯平安反病毒实验室提醒用户,打开腾讯计算机管家可以查杀病毒。据twitter据透露,乌克兰政府机构遭到大规模攻击,其中乌克兰副总理的计算机受到攻击。现在腾讯计算机管家已经确认病毒是Petya勒索病毒。腾讯平安反病毒实验室的哈勃分析系统分析了收集到的病毒样本,并确认病毒样本是通过永恒的蓝色传播的。根据病毒的恶意行为,哈勃已经能够识别病毒,并被判定为高风险。腾讯平安反病毒实验室提醒用户打开腾讯计算机管家可以杀死病毒。
根据分析效果,病毒样本运行后,内网中的计算机将被列出,并在445等端口进行实验SMB相邻协议
深入分析发现,病毒毗邻时使用永恒蓝(EternalBlue)之前的破绽,这个破绽WannaCry勒索病毒也被使用,这是造成的WannaCry全球快速发作的重要原因之一Petya利用这一缺陷,勒索病毒也达到了快速传播的目的。
电脑管家权威发布启动指南 四步彻底防御Petya勒索病毒
同时,病毒会修改系统MBR指导风扇区域,当计算机重启时,病毒代码将在Windows操作系统前接受计算机,进行加密等恶意操作。
计算机重启后,会显示一个伪装的界面,实际上是病毒显示的。界面假称磁盘扫描正在进行中,实际上磁盘数据正在加密中。
加密后,病毒露出真正的脸,要求受害者支付300美元的比特币,然后回复解密钥。
这一加密过程始于2016年Petya勒索病毒的过程相似,twitter上也有平安职员确认了二者的相似关系。然则差别的是,之前的Petya病毒要求获取暗网地址的解密钥,而病毒的发作直接留下了一个Email 邮箱作为联系方式。
腾讯平安反病毒实验室提醒,通过各种渠道收到的不熟悉的文件应谨慎使用哈勃分析系统(https://habo.qq.com/)对文件进行安全检测,打开腾讯电脑管家查杀病毒。
解救Petya勒索病毒招用户 电脑管家免费送恢复工具U盘