有关Petya和NotPetya的文章这段时间已经铺天盖地了。大家都知道Petya和NotPetya是利用了永恒之蓝的漏洞,修改用户主引导记录(MBR),从而实现文件的加密。可是它们之间的具体区别是什么呢?本篇文章着重从技术角度分析了Petya和NotPetya的关键不同点。
区别点1:XOR key
Petya和NotPetya都是读取MBR并用一个简单的XOR key对其进行加密。唯一的区别在于Petya使用了0x37作为key,而NotPetya使用0x07作为key。
Petya使用0x37图示
NotPetya使用0x07图示
区别点2:Mini-Kernel的责任
Petya通过运行一个mini-kernel来替换原始内核。该代码负责加密过程、显示假的磁盘修复工具chkdsk、闪烁的骷髅图像、以及勒索信息。NotPetya的mini-kernal的不同之处在于其中不包括骷髅图片。
区别点3:重启风格
在将恶意MBR和mini-kernel代码写入受感染磁盘后,Petya和NotPeya都是通过重启系统来启动病毒感染的第二阶段。
不同之处在于,Petya使用了NtRaiseHardError API来重启系统,而NotPetya通过使用CreateProcessW API在设定的时间执行命令“shutdown.exe /r /f”来重启。
Petya的启动流程
NotPetya的启动流程
区别点4:骷髅显示
Petya在假的CHKDSK操作完成之后显示一个红色的骷髅。而Notpetya也在加密文件的时候显示一个假的CHKDSK操作,但是后续并没有骷髅显示。
Petya字符串
下图是NotPetya的虚拟内存截图,其中包含了假的CHKDSK字符串和勒索信息,却在本应该包含骷髅头像的地方留了白。
NotPetya字符串
区别点5:勒索信息
Petya和NotPetya的勒索信息完全不同,见下图:
Petya勒索信息
NotPetya勒索信息
绿盟科技温馨提示:
支付黑客要求的赎金并不能保证你的文档完璧归赵。你需要的是一个良好的文件备份机制。现在大家都采用实时备份,可是实时也意味着病毒侵入之后你的备份数据也会感染。所以,独立的离线数据备份也是必不可少的,它能够保证你的数据在大规模攻击中存活下来。