在过去的 48 小时内,我们被告知 Petya 勒索软件类似于“想哭”勒索软件。这两种勒索软件都会加密您的数据,并要求支付 300 美元才能解锁您的数据。然而,在 Petya 案例中,德国已经关闭了回复电子邮件地址,因此即使您想支付也无法支付。
与“Wanna Cry”不同的是,“Petya”要求你创建一个本地文件来阻止数据被加密,而“Wanna Cry”有一个全局终止开关,会在72小时内被意外打开。然而,你仍然会受到感染,并可能将勒索软件传递到其他系统。
我在故事里读到“Petya”勒索软件可能是潜在更大规模攻击的烟幕您需要创建该文件C:\Windows\perfc并将其标记为只读以保护您的系统。wine我猜想这包括使用 Linux 的用户。但是:
在评论部分,用户发布的文件名必须是
C:\Windows\perfc.exe。在勒索软件疫苗现已推出他们说文件名必须是
C:\Windows\perfc.dll。
有人可以确认 Linux Wine 用户是潜在的受害者以及实际的只读文件名是什么吗?
答案1
我运行了它......
正如我所承诺的,我在 Debian 虚拟机上安装了 wine,获取了一些 Petya 样本,直接运行它们并使用:rundll32 path,#1,以普通用户和 root 用户身份运行,我的 VM 及其 MBR 都没有发生任何事情。
它如何传播?
Petya 使用“永恒之蓝”漏洞和经典的 SMB 网络传播技术。
该漏洞在Linux上的对应CVE为:“CVE-2017-7494”,目前已经修复:
我的 Ubuntu 是否容易受到 SambaCry 的攻击?
perfc 和 perfc.dat:
赛门铁克表示,Petya 创建文件“C:\Windows\perfc”来表明计算机已被感染,而“perfc.dat”是它用来执行自身文件的文件。
为了阻止 petya,您应该在此处创建一个只读文件:“C:\Windows\perfc.dat”,这样 petya 就无法写入和执行自身。
如果“Petya”运行,“C:\Windows\perfc”就是某种终止开关,在看到这个文件后,它会认为你的计算机已被感染,并且只会尝试感染其他网络设备。
加密和 MBR:
感染后,它会尝试更改 MBR。MBR 分为三个部分:分区表、引导代码、魔法代码。通过更改引导代码,它可以劫持引导过程,因此,您不会加载引导加载程序,而是会看到一条消息,在该消息后面,它将启动全盘加密,在最后一条消息之前,似乎 petya 在显示伪造的检查磁盘时运行全盘加密。
使用“wine”,它无法更改您的 MBR(除非您使用 sudo 运行 wine),它只是尝试感染其他设备。
它还进行用户模式加密,为此,感染后它会在所有驱动器中查找特定扩展并开始加密其中的前 1MB。
所以看起来除非您自己使用 wine 和 root 访问权限来运行它,否则无需担心。
来源:赛门铁克。