主题 : 网友分享:Petya病毒及变种的运作原理及挽救损失方法
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61668(时)
注册时间: 2008-12-25
最后登录: 2024-03-28

0 网友分享:Petya病毒及变种的运作原理及挽救损失方法

最近,Petya病毒及其变种随着wannacry的平息之后突然间爆发,我当然也比较关注这个消息了。
同样的,我也想了解一下这个病毒是怎么运作的。

我拿到了Petya样本(恕不提供下载)之后,重新调用回了之前用于测试的虚拟机,将病毒样本丢进去准备测试。
关于病毒测试用虚拟机环境的搭建,请参考这篇文章:【IT之家“神教程”:VM虚拟机内的恶意程序测试指南

双击之后,它会自动往硬盘写入一些东西,闪过一行英文之后就立即重启电脑了。(闪的速度太快了我没看清楚是什么内容)
这个时候重启进PE,可以看到数据还在这里。

但是如果通过外界的启动菜单来从硬盘启动,又可以正常启动回Windows。


从这些特性说明,Petya是典型的MBR引导区病毒,触发的时候首先恶意写入了MBR,但不破坏PBR。
因此:
只要你使用的是UEFI启动方式且为GPT分区表,该病毒对你的电脑就彻底失去作用,不会有任何影响。
但如果你用的是Legacy启动方式(也就是MBR),你可以使用任何可能的防护软件抵御MBR写入动作。
那么如果撤去外界启动菜单直接从硬盘的MBR启动会发生什么呢?

运行一个假的chkdsk程序,实际上这个操作是破坏扇区。
不过,此操作并非全盘加密,因为全盘加密真正操作起来相当费时。如果你用过BitLocker全盘加密的话,应该知道加密/解密过程需要花多长时间。
在我写这篇文章之前事先测试了一次,并在真正开始破坏之前我复制了整个硬盘的前1000000个扇区的数据(大概490MB)用于对比。
这个过程跑完之后,就是闪瞎眼的骷髅标志……

按下任意键之后,就进入了勒索提示。

我使用的这种Petya样本是将信息填写到这个onion网站上的,不过本质其实是一样的。
在这个时候,你进入PE访问整个硬盘,你会发现磁盘全部变成RAW无法访问。

这个时候将被破坏的硬盘的前1000000个扇区提取出来,和之前备份的进行对比。我们使用的是UltraCompare这个工具。

我们这里可以看到,发生变化的主要是一直到0x00006350区段的所有内容,换算一下大概是28扇区,14KB的数据量。

而上面显示,发生变化的内容有10965266字节,也大概是10MB的数据量,实际上远没有这么多。
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61668(时)
注册时间: 2008-12-25
最后登录: 2024-03-28

了解了这些情况之后,我对Petya的特征得出以下结论:
    1、它是一种MBR引导区病毒;
    2、类似当年的CIH,为了加快破坏文件速度,它不使用全盘加密而是直接破坏的分区表;
    3、但是,它破坏分区表并不是简单地删除分区表,而是破坏了每个分区的文件系统,导致系统无法再正确读取这些磁盘的数据,因此也无法靠修复分区表来解决此问题。
因此,想救回这些文件,你可以使用任何主流的支持从RAW分区恢复数据的数据恢复软件来很方便地救回这些数据,比如说易数科技的DiskGenius、X-Ways的WinHex。
你可以选择在PE下使用这类数据恢复软件,也可以选择将硬盘外接到别的电脑上来使用。
另外特别说明,这种情况出现之后,不要使用chkdsk磁盘扫描工具来修复磁盘,否则它会删除这些你还可能救得回来的文件。

我这里使用的是专业版,为了支持开发商对数据恢复做出的努力,强烈建议购买正版。购买这类数据恢复软件付出的代价也比向黑客支付300美元的赎金低得多,带来的好处就比冒着可能无法恢复数据的风险支付赎金大得多。
当然,如果你的被破坏的分区是使用像BitLocker这样的加密程序加密过的,那么数据拯救回来的可能性就比较低了。

恢复数据之后,这些文件的文件名可能已经丢失了,但是文件的状态非常棒,数据也还完好,你可以把它们恢复到你的外接的存储设备上,重新整理一下文件名和位置,再来重新安装操作系统。
不过重新安装系统的时候,如果条件允许,请一定要使用UEFI+GPT这种组合的安装模式且关闭CSM来抵御引导区病毒的袭击,而且需要安装至少Windows 8。
如果电脑不能支持UEFI启动模式,那么重装系统完成之后,请一定要及时关闭可能的端口,安装好系统更新并做好引导区防护工作,避免类似病毒的威胁。

数据无价这个道理,只有经历过了才会懂。
导致数据丢失的根本原因,并非黑客的贪婪,而是管理员的安全意识低下。
只要及时封堵导致这些安全隐患的漏洞,并做好各种可能的安全威胁的防范工作,就可以防患于未然。
级别: 八片秋叶

UID: 268851
精华: 0
发帖: 21066
威望: 38869 点
无痕币: 16559 WHB
贡献值: 0 点
在线时间: 1598(时)
注册时间: 2016-03-27
最后登录: 2024-03-25

谢谢分享,了解一下
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61668(时)
注册时间: 2008-12-25
最后登录: 2024-03-28

这个可以看看,了解一下。
Total 0.046408(s) query 4, Time now is:03-28 18:22, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛