有关Petya和NotPetya的文章这段时间已经铺天盖地了。大家都知道Petya和NotPetya是利用了永恒之蓝的漏洞,修改用户主引导记录(MBR),从而实现文件的加密。可是它们之间的具体区别是什么呢?本篇文章着重从技术角度分析了Petya和NotPetya的关键不同点。
区别点1:XOR key
Petya和NotPetya都是读取MBR并用一个简单的XOR key对其进行加密。唯一的区别在于Petya使用了0x37作为key,而NotPetya使用0x07作为key。
Petya使用0x37图示
NotPetya使用0x07图示
区别点2:Mini-Kernel的责任
Petya通过运行一个mini-kernel来替换原始内核。该代码负责加密过程、显示假的磁盘修复工具chkdsk、闪烁的骷髅图像、以及勒索信息。NotPetya的mini-kernal的不同之处在于其中不包括骷髅图片。
区别点3:重启风格
在将恶意MBR和mini-kernel代码写入受感染磁盘后,Petya和NotPeya都是通过重启系统来启动病毒感染的第二阶段。
不同之处在于,Petya使用了NtRaiseHardError API来重启系统,而NotPetya通过使用CreateProcessW API在设定的时间执行命令“shutdown.exe /r /f”来重启。
Petya的启动流程
NotPetya的启动流程
区别点4:骷髅显示
Petya在假的CHKDSK操作完成之后显示一个红色的骷髅。而Notpetya也在加密文件的时候显示一个假的CHKDSK操作,但是后续并没有骷髅显示。
Petya字符串
下图是NotPetya的虚拟内存截图,其中包含了假的CHKDSK字符串和勒索信息,却在本应该包含骷髅头像的地方留了白。
NotPetya字符串
区别点5:勒索信息
Petya和NotPetya的勒索信息完全不同,见下图:
Petya勒索信息
NotPetya勒索信息
绿盟科技温馨提示:
支付黑客要求的赎金并不能保证你的文档完璧归赵。你需要的是一个良好的文件备份机制。现在大家都采用实时备份,可是实时也意味着病毒侵入之后你的备份数据也会感染。所以,独立的离线数据备份也是必不可少的,它能够保证你的数据在大规模攻击中存活下来。
文章内容参考自Fortinet的研究员近日发表的文章:Petya和NotPetya的关键技术性区别。
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880