最近,Petya病毒及其变种随着wannacry的平息之后突然间爆发,我当然也比较关注这个消息了。
同样的,我也想了解一下这个病毒是怎么运作的。
我拿到了Petya样本(恕不提供下载)之后,重新调用回了之前用于测试的虚拟机,将病毒样本丢进去准备测试。
关于病毒测试用虚拟机环境的搭建,请参考这篇文章:【
IT之家“神教程”:VM虚拟机内的恶意程序测试指南】
双击之后,它会自动往硬盘写入一些东西,闪过一行英文之后就立即重启电脑了。(闪的速度太快了我没看清楚是什么内容)
这个时候重启进PE,可以看到数据还在这里。
但是如果通过外界的启动菜单来从硬盘启动,又可以正常启动回Windows。
从这些特性说明,Petya是典型的MBR引导区病毒,触发的时候首先恶意写入了MBR,但不破坏PBR。
因此:
只要你使用的是UEFI启动方式且为GPT分区表,该病毒对你的电脑就彻底失去作用,不会有任何影响。
但如果你用的是Legacy启动方式(也就是MBR),你可以使用任何可能的防护软件抵御MBR写入动作。
那么如果撤去外界启动菜单直接从硬盘的MBR启动会发生什么呢?
运行一个假的chkdsk程序,实际上这个操作是破坏扇区。
不过,此操作并非全盘加密,因为全盘加密真正操作起来相当费时。如果你用过BitLocker全盘加密的话,应该知道加密/解密过程需要花多长时间。
在我写这篇文章之前事先测试了一次,并在真正开始破坏之前我复制了整个硬盘的前1000000个扇区的数据(大概490MB)用于对比。
这个过程跑完之后,就是闪瞎眼的骷髅标志……
按下任意键之后,就进入了勒索提示。
我使用的这种Petya样本是将信息填写到这个onion网站上的,不过本质其实是一样的。
在这个时候,你进入PE访问整个硬盘,你会发现磁盘全部变成RAW无法访问。
这个时候将被破坏的硬盘的前1000000个扇区提取出来,和之前备份的进行对比。我们使用的是UltraCompare这个工具。
我们这里可以看到,发生变化的主要是一直到0x00006350区段的所有内容,换算一下大概是28扇区,14KB的数据量。
而上面显示,发生变化的内容有10965266字节,也大概是10MB的数据量,实际上远没有这么多。