突然了！ GhostPetya勒索软件攻击半导体行业

最近，国内半导体产业爆发了勒索软件，造成了大面积的业务。信服的安全团队率先接收信息并处理它。它发现它的攻击方法类似于早期的Petya勒索软件，但它们完全不同。包括控制域控制服务器，网络钓鱼邮件，永久蓝色漏洞攻击和暴力攻击，攻击力极大，可能在短时间内导致内网上的大量主机，并且主机需要支付0.1比特币赎金。

它确信它已被命名为GhostPetya勒索软件，并已开发出全面的防御措施和解决方案。

病毒名称: GhostPetya

病毒特性:赎金病毒

影响范围:已被许多半导体行业公司感染，很可能会大规模爆炸

危险等级:高风险

传输方式:控制域服务器，网络钓鱼邮件，永恒蓝色漏洞攻击和暴力攻击

▲中招主主机骷髅头骷髅

▲中兆主持勒索信息

病毒分析

1.在读写模式下，打开主机\ .PhysicalDrive0，\ .PhysicalDrive1，\ .PhysicalDrive2，\ .PhysicalDrive3，\ .I和其他磁盘:

2.然后将MBR勒索软件数据写入这些开放磁盘空间:

写入的相关数据如下:

显示的勒索信息如下:

3.然后执行restart system命令:

4.从受感染的主机中提取相应的MBR数据，如下所示。:

5.感染后，主机将首先调用CHKDSK进行磁盘检测操作。:

调用磁盘检测信息，如下所示:

完成后，将弹出一个勒索图像闪屏。按任意键进入系统，显示如下图所示的勒索信息，并要求受害者客户支付0.1 BTC解锁操作，BTC地址:

1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX

6.感染后动态调试主机的MBR，如下所示。:

7.调试分析后，受感染的MBR与之前的Petya勒索软件MBR代码非常相似。调用int 13中断，从磁盘加载扇区1-32到从内存0x8000开始的地址，然后转到0x8000执行该指令，如下所示:

8.循环显示字符串信息，例如$，以显示赎金信息图片，如下所示。:

9.显示赎金图片信息，如下所示:

设置屏幕的显示模式:

然后执行启动画面操作:

10.检查是否有键盘密钥信息，如下所示。:

11.如果有按钮信息，则读取相应的勒索信息，并且信息勒索软件信息显示界面:

相应的勒索软件数据如下:

12.循环检测用户输入密钥:

溶液

1.隔离受感染的主机:尽快隔离中毒的计算机，关闭所有网络连接，并禁用网卡。

2.切断传播路径:关闭潜在终端的SMB 445等网络共享端口，关闭异常外部访问。深信下一代防火墙用户，您可以打开IPS和僵尸网络功能来阻止。

3，防止暴力破解:说服防火墙，终端检测响应平台（EDR）具有防爆功能，防火墙打开此功能并启用11080051,11080027,11080016规则，EDR打开防爆功能即可防御。

4.找到攻击源:手动数据包捕获分析或使用深入令人信服的安全意识平台。

5，查杀病毒:建议使用深信服EDR进行查杀。

6，修补漏洞相关的漏洞:，该漏洞包括“永恒的蓝色”rdquo;漏洞。

7.更改帐户密码，设置强密码，并避免使用统一密码，因为统一密码会导致密码泄露，多个密码遭受损失。

不幸的是，用户可以尝试以下方法来恢复他们的业务:

1，进入PE模式并制作启动U盘

工具:

U盘启动软件

U盘（创建启动盘时格式化）

测试Windows的PC

生产完成后，U盘插入PC，有两种方式启动进入PE模式。:

（1）启动后按F12，进入启动项，选择U盘启动（不同的主机按钮不同，可以在线查询）;

进入BIOS系统（测试主机是FN + F12入口，不同主机快捷键不同，建议根据主机情况执行在线查询快捷键）选择U盘启动:

然后进入以下界面，因为测试的PC是windows7系统，所以选择[02]选项（根据中毒的PC情况）:

2.恢复数据

步骤1:访问正在运行的桌面上的DiskGenius软件，找到中毒PC的硬盘（通常约为500G和1TB）:

步骤2:单击鼠标右键运行“搜索丢失的分区（重建分区表） :

步骤3:如果在搜索过程中弹出“ldquo;搜索分区框”记得点击保留。

步骤4:最后，您可以看到数据已经恢复，然后您需要单击保存到<:

3.重建MBR

一般情况下，如果系统在数据恢复后重启，mbr仍然无法正常启动系统，所以这次你需要修复mbr，点击鼠标右键运行“重建领先记录MBR”，这次你会创建新的MBR:

此时，可以通过重新启动系统来恢复系统。

4.其他事项（注释）

恢复数据流

步骤2:运行“搜索丢失的分区（重建分区表）”，在软件搜索时不要再次停止搜索（重建分区表），否则在第二次搜索后丢失的数据可能会丢失。部分。

步骤4:请注意，如果PC未恢复，PC将恢复。此时，您可以直接插入备份U盘并复制其他磁盘的数据以重新安装系统。

重建MBR流程

方法1: DiskGenius上的新功能，如上所述;

方法2:进入PE模式后，单击左下角的引导修复程序 - Bootice（引导扇区恢复工具）—主引导记录（M） - =选择WindowsNT5.X/6.X MBR - 单击安装/配置:

注意:在某些情况下，数据被恢复，但C驱动器无法恢复或MBR无法正常启动。此时，可以在PE模式下复制其他磁盘的重要数据，以重新安装系统。