近日,国内半导体行业爆发勒索病毒,造成业务大面积瘫痪,深信服安全团队率先接到情报并进行处置,发现其攻击手段与早期Petya勒索病毒有相似之处,但又有较大不同,其攻击方式包括控制域控服务器、钓鱼邮件、永恒之蓝漏洞攻击和暴力破解,攻击力极大,可在短时间内造成内网大量主机瘫痪,中招主机被要求支付0.1个比特币赎金。
深信服已将其命名为GhostPetya骷髅头勒索病毒,并且制定了完善的防御措施和解决方案。
病毒名称:GhostPetya
病毒性质:勒索病毒
影响范围:已感染多家半导体行业企业,很可能大规模爆发
危害等级:高危
传播方式:控制域控服务器、钓鱼邮件、永恒之蓝漏洞攻击和暴力破解
▲中招主机弹出骷髅头
▲中招主机勒索信息
病毒分析
1.以读写的模式,打开主机\\.\PhysicalDrive0、\\.\PhysicalDrive1、\\.\PhysicalDrive2、\\.\PhysicalDrive3、\\.\I等磁盘:
2.然后MBR勒索的数据写入到这些打开的磁盘空间中:
写入的相关数据,如下所示:
显示的勒索信息,如下所示:
3.然后执行重启系统命令:
4.从感染的主机中提取出相应的MBR数据,如下所示:
5.感染后的主机,会先调用CHKDSK进行磁盘检测操作:
调用磁盘检测信息,如下所示:
完成之后会弹出勒索图片闪屏信息。按任意键进入系统,显示下图所示的勒索信息,要求受害客户支付0.1个BTC进行解锁操作,BTC地址:
1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX
6.对感染后主机的MBR进行动态调试,如下所示:
7.经过调试分析,此感染后的MBR与之前Petya勒索病毒MBR代码非常相似,调用int 13中断,将扇区1-32从磁盘加载到内存0x8000开始的地址,然后转到0x8000执行指令,如下所示:
8.循环读取$等字符串信息,用于显示勒索信息图片,如下所示:
9.显示勒索图片信息,如下所示:
设置屏幕的显示模式:
然后进行闪屏操作:
10.检测是否有键盘按键信息,如下所示:
11.如果有按键信息,则读取相应的勒索信息,弹出信息勒索信息显示界面:
相应的勒索信息数据,如下所示:
12.循环检测用户输入的key:
解决方案
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。深信服EDR用户使用微隔离进行封锁。
l 深信服下一代防火墙配置步骤:
①确认当前设备版本和规则库版本:
规则库版本,确认“IPS漏洞特征识别库”和“热门威胁”库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
设备版本:建议升级至AF8.0.5及以上版本,以获取更快速的更新能力及更好的防护效果。
②开启安全功能:
针对此次的GhostPetya骷髅头勒索病毒防护,SANGFOR AF建议针对【内网主机】,可以开启 “漏洞攻击防护”和“僵尸网络”两个功能。针对【对外发布的服务器】,可以开启“漏洞攻击防护”和“僵尸网络”两个功能,配置如下:
■ 新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
■ 新增针对“对外发布的服务器”防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
l 深信服EDR微隔离封锁配置方法:
①对GhostPetya使用到的传播端口运行封堵。TCP(135、137、138、139、445)端口,对共享服务的端口进行封堵。
②对需要访问共享服务的终端及服务器进行放通
③配置完成,如下所示:
3、防止暴力破解:深信服防火墙有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,可进行防御。
具体配置步骤参照第2步,防暴力破解功能在“业务防护策略”的IPS功能默认模板里已预置,无需再单独开启。
4、查找攻击源:手工抓包分析或借助深信服安全感知平台。需要将安全感知平台IOC库更新到最新。
l SIP更新IOC库步骤:
①SIP能连接互联网情况: IOC库需要更新到12月7号,平台将会自动升级,也可以手动触发升级:
更新完成后如下,更新到12月7号的IOC库。
②SIP不能连接互联网情况:手动导入IOC库到到12月7号:
导入完成后,如下,更新到12月7号的IOC库。
5、查杀病毒:推荐使用深信服EDR进行查杀。
l 深信服EDR查杀步骤:
①更新病毒库:
EDR管理平台能连接互联网情况:平台会10分钟连接升级服务器检测一次是否有库更新。
EDR管理平台不能联网情况:离线更新病毒库到12月7号
病毒库需要解压,得到pkg文档。
导入完成后,点击确认
②下发扫描策略查杀病毒。
使用EDR查杀需要先恢复业务(恢复方法见后面章节),进入系统:
选择需要查杀的终端,建议选择所有的终端;
按需要选择扫描模式,建议均衡即可;
对查杀出来的病毒进行隔离、清除处置。
6、修补漏洞:打上漏洞相关补丁,漏洞包括“永恒之蓝”漏洞等。
7、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
不幸中招的用户,可以尝试以下方式进行业务恢复:
1、进入PE模式和制作启动U盘
工具:
U盘启动软件
U盘(制作启动盘时候格式化)
测试PC为Windows
制作好后U盘插入PC,开机进入PE模式有两种方法:
(1) 开机后按F12,进入启动项选择U盘启动(不同的主机按键不一样,可自行网上查询);
进入BIOS系统中 (测试主机为FN+F12进入,不同主机快捷键不同,建议根据主机情况进行网上查询快捷键)选择U盘启动:
然后进入如下图界面,由于测试的PC是windows7系统,所以选择第[02]选项(根据中毒的PC情况来选项):
2、恢复数据
步骤1:接入运行桌面上的 DiskGenius软件,找到中毒PC的硬盘(一般为500G和1TB左右) :
步骤2:点击鼠标右键运行“搜索已丢失分区(重建分区表)”:
步骤3:如果在搜索期间,弹出“搜索到分区框”记得点击保留。
步骤4:最后可以看到数据恢复了,接着需要“点击保存”:
3、重建MBR
正常情况下数据恢复后重启系统的话,mbr还是不能正确引导系统启动,所以这个时候需要紧接着修复mbr,点击鼠标右键运行“重建主导记录MBR”,这个时候会新建MBR:
这时候重新启动系统就可以恢复了。
4、其它事项(注意)
恢复数据流程
步骤2:运行在“搜索已丢失分区(重建分区表)”,当软件一直正在搜索情况下不要停止搜索后再次(重建分区表),否则第2次搜索完后丢失的数据可能会丢失部分。
步骤4:注意个别PC会存在系统C盘恢复不回来,这个时候可以直接插入备份U盘拷贝其它盘的数据出来后重装系统)。
重建MBR流程
方法1:在DiskGenius上新建,上文已提到;
方法2:进入PE模式后,点击左下角的引导修复–Bootice(引导扇区恢复工具)—主引导记录(M)-=选择Windows NT5.X/6.X MBR–点击安装/配置:
注意: 存在个别情况就是数据恢复回来,但是C盘的恢复不了或者新建MBR后正常开机不了,这个时候可以在PE模式下把其它盘的重要数据拷贝出来重装系统。