突然了! GhostPetya勒索软件攻击半导体行业
最近,国内半导体产业爆发了勒索软件,造成了大面积的业务。信服的安全团队率先接收信息并处理它。它发现它的攻击方法类似于早期的Petya勒索软件,但它们完全不同。包括控制域控制服务器,网络钓鱼邮件,永久蓝色漏洞攻击和暴力攻击,攻击力极大,可能在短时间内导致内网上的大量主机,并且主机需要支付0.1比特币赎金。
它确信它已被命名为GhostPetya勒索软件,并已开发出全面的防御措施和解决方案。
病毒名称: GhostPetya
病毒特性:赎金病毒
影响范围:已被许多半导体行业公司感染,很可能会大规模爆炸
危险等级:高风险
传输方式:控制域服务器,网络钓鱼邮件,永恒蓝色漏洞攻击和暴力攻击
▲中招主主机骷髅头骷髅
▲中兆主持勒索信息
病毒分析
1.在读写模式下,打开主机\ .PhysicalDrive0,\ .PhysicalDrive1,\ .PhysicalDrive2,\ .PhysicalDrive3,\ .I和其他磁盘:
2.然后将MBR勒索软件数据写入这些开放磁盘空间:
写入的相关数据如下:
显示的勒索信息如下:
3.然后执行restart system命令:
4.从受感染的主机中提取相应的MBR数据,如下所示。:
5.感染后,主机将首先调用CHKDSK进行磁盘检测操作。:
调用磁盘检测信息,如下所示:
完成后,将弹出一个勒索图像闪屏。按任意键进入系统,显示如下图所示的勒索信息,并要求受害者客户支付0.1 BTC解锁操作,BTC地址:
1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX
6.感染后动态调试主机的MBR,如下所示。:
7.调试分析后,受感染的MBR与之前的Petya勒索软件MBR代码非常相似。调用int 13中断,从磁盘加载扇区1-32到从内存0x8000开始的地址,然后转到0x8000执行该指令,如下所示:
8.循环显示字符串信息,例如$,以显示赎金信息图片,如下所示。:
9.显示赎金图片信息,如下所示:
设置屏幕的显示模式:
然后执行启动画面操作:
10.检查是否有键盘密钥信息,如下所示。:
11.如果有按钮信息,则读取相应的勒索信息,并且信息勒索软件信息显示界面:
相应的勒索软件数据如下:
12.循环检测用户输入密钥:
溶液
1.隔离受感染的主机:尽快隔离中毒的计算机,关闭所有网络连接,并禁用网卡。
2.切断传播路径:关闭潜在终端的SMB 445等网络共享端口,关闭异常外部访问。深信下一代防火墙用户,您可以打开IPS和僵尸网络功能来阻止。
3,防止暴力破解:说服防火墙,终端检测响应平台(EDR)具有防爆功能,防火墙打开此功能并启用11080051,11080027,11080016规则,EDR打开防爆功能即可防御。
4.找到攻击源:手动数据包捕获分析或使用深入令人信服的安全意识平台。
5,查杀病毒:建议使用深信服EDR进行查杀。
6,修补漏洞相关的漏洞:,该漏洞包括“永恒的蓝色”rdquo;漏洞。
7.更改帐户密码,设置强密码,并避免使用统一密码,因为统一密码会导致密码泄露,多个密码遭受损失。
不幸的是,用户可以尝试以下方法来恢复他们的业务:
1,进入PE模式并制作启动U盘
工具:
U盘启动软件
U盘(创建启动盘时格式化)
测试Windows的PC
生产完成后,U盘插入PC,有两种方式启动进入PE模式。:
(1)启动后按F12,进入启动项,选择U盘启动(不同的主机按钮不同,可以在线查询);
进入BIOS系统(测试主机是FN + F12入口,不同主机快捷键不同,建议根据主机情况执行在线查询快捷键)选择U盘启动:
然后进入以下界面,因为测试的PC是windows7系统,所以选择[02]选项(根据中毒的PC情况):
2.恢复数据
步骤1:访问正在运行的桌面上的DiskGenius软件,找到中毒PC的硬盘(通常约为500G和1TB):
步骤2:单击鼠标右键运行“搜索丢失的分区(重建分区表) :
步骤3:如果在搜索过程中弹出“ldquo;搜索分区框”记得点击保留。
步骤4:最后,您可以看到数据已经恢复,然后您需要单击保存到<:
3.重建MBR
一般情况下,如果系统在数据恢复后重启,mbr仍然无法正常启动系统,所以这次你需要修复mbr,点击鼠标右键运行“重建领先记录MBR”,这次你会创建新的MBR:
此时,可以通过重新启动系统来恢复系统。
4.其他事项(注释)
恢复数据流
步骤2:运行“搜索丢失的分区(重建分区表)”,在软件搜索时不要再次停止搜索(重建分区表),否则在第二次搜索后丢失的数据可能会丢失。部分。
步骤4:请注意,如果PC未恢复,PC将恢复。此时,您可以直接插入备份U盘并复制其他磁盘的数据以重新安装系统。
重建MBR流程
方法1: DiskGenius上的新功能,如上所述;
方法2:进入PE模式后,单击左下角的引导修复程序 - Bootice(引导扇区恢复工具)—主引导记录(M) - =选择WindowsNT5.X/6.X MBR - 单击安装/配置:
注意:在某些情况下,数据被恢复,但C驱动器无法恢复或MBR无法正常启动。此时,可以在PE模式下复制其他磁盘的重要数据,以重新安装系统。