技术头条 - 一个快速在微博传播文章的方式     搜索本站
您现在的位置首页 --> 安全 --> Petya和NotPetya的关键技术性区别

Petya和NotPetya的关键技术性区别

浏览:1167次  出处信息

   有关Petya和NotPetya的文章这段时间已经铺天盖地了。大家都知道Petya和NotPetya是利用了永恒之蓝的漏洞,修改用户主引导记录(MBR),从而实现文件的加密。可是它们之间的具体区别是什么呢?本篇文章着重从技术角度分析了Petya和NotPetya的关键不同点。

   

区别点1:XOR key

   Petya和NotPetya都是读取MBR并用一个简单的XOR key对其进行加密。唯一的区别在于Petya使用了0x37作为key,而NotPetya使用0x07作为key。

   

Petya使用0x37图示

   

NotPetya使用0x07图示

区别点2:Mini-Kernel的责任

   Petya通过运行一个mini-kernel来替换原始内核。该代码负责加密过程、显示假的磁盘修复工具chkdsk、闪烁的骷髅图像、以及勒索信息。NotPetya的mini-kernal的不同之处在于其中不包括骷髅图片。

区别点3:重启风格

   在将恶意MBR和mini-kernel代码写入受感染磁盘后,Petya和NotPeya都是通过重启系统来启动病毒感染的第二阶段。

   不同之处在于,Petya使用了NtRaiseHardError API来重启系统,而NotPetya通过使用CreateProcessW API在设定的时间执行命令“shutdown.exe /r /f”来重启。

   

Petya的启动流程

   

NotPetya的启动流程

区别点4:骷髅显示

   Petya在假的CHKDSK操作完成之后显示一个红色的骷髅。而Notpetya也在加密文件的时候显示一个假的CHKDSK操作,但是后续并没有骷髅显示。

   

Petya字符串

   下图是NotPetya的虚拟内存截图,其中包含了假的CHKDSK字符串和勒索信息,却在本应该包含骷髅头像的地方留了白。

   

NotPetya字符串

区别点5:勒索信息

   Petya和NotPetya的勒索信息完全不同,见下图:

   

Petya勒索信息

   

NotPetya勒索信息

   

   绿盟科技温馨提示:

   支付黑客要求的赎金并不能保证你的文档完璧归赵。你需要的是一个良好的文件备份机制。现在大家都采用实时备份,可是实时也意味着病毒侵入之后你的备份数据也会感染。所以,独立的离线数据备份也是必不可少的,它能够保证你的数据在大规模攻击中存活下来。

QQ技术交流群:445447336,欢迎加入!
扫一扫订阅我的微信号:IT技术博客大学习
© 2009 - 2024 by blogread.cn 微博:@IT技术博客大学习

京ICP备15002552号-1