Petya变种病毒事件总结分析以及防护方案说明

最新推荐文章于 2022-01-23 20:29:39 发布
最新推荐文章于 2022-01-23 20:29:39 发布
阅读量253 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462149
版权

最近Petya勒索事件在安全圈传的沸沸扬扬,底下信息是前几天发的,然后现在认真看了看样本,并用两个虚拟机做了一下实验,发现了样本以下特征。

首先样本先进行全网扫描,边扫描边加密,如下图所示(所有扫描都是局域网内)

0?wx_fmt=jpeg

枚举这堆ip的函数如下

0?wx_fmt=jpeg

然后当扫到可以ping通的机子后或者可以法松SMB包的机子后,就会记录下来,然后发一堆记录信息哔哩吧啦

0?wx_fmt=jpeg

然后接着就等把所有网段都扫描完毕后,再会将之前记录下来的ip开始进行内网渗透攻击,可能是我的靶机没有设密码的原因,样本默认用漏洞进行攻击了吧,然后就如下面静态分析所说的用rundll32加载自身样本dll一样,样本就这样传到了靶机上,报文里面有记载着漏洞攻击包,和永恒之蓝的攻击包相似,在

此就不发截图了,靶机内被攻击图如下

0?wx_fmt=jpeg

上图为传过去的样本创建临时文件截图

目前有报道称,这个样本有两个漏洞,永恒之蓝是针对win7,永恒浪漫是针对xp,之后我会将靶机换成xp来试试会不会触发永恒浪漫,明天再改改吧,话说我攻击机是xp,靶机是win7,明天换一下姿势,好像有点邪恶,233

总而言之,这样本要是有无聊的人在内网测试了一下,肯定会造成全网爆炸,相信我,这样本加密快,扫描块,还同时进行,威力真的大,就是周期长了点,要一个来小时才关机,定时函数如下

最低0.47元/天 解锁文章
blackorbird
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ExPetr勒索(Petya变种)病毒事件今日总结以及防护方案
blackorbird的博客
06-28 534
今天Petya勒索事件在安全圈传的沸沸扬扬,看了一天下来,并看了多家的报告,最后也敢来发一下这个事件的最确切的版本了,如有得罪,请见谅。首先是对于从昨晚国外开始报道的CV...
petya病毒分析_首先是WannaCry,现在是Petya –防范大规模勒索软件攻击
culu1614的博客
08-12 423
petya病毒分析Just a month after the sweeping WannaCry attacks, we now see a new ransomware threat, a Petya variant, causing havoc across the globe. As is usual with these kinds of attacks, users find them...
Petya勒索病毒
swordheart的博客
01-23 1万+
Petya勒索病毒 1、原理说明 2017年6月27日晚,印度、俄罗斯、西班牙以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁定设备,并索要赎金。其中乌克兰地区受灾害最为严重,政府、银行、电力系统、通讯系统、企业等都受到不同程度的影响。 此次攻击者采用早前Petya勒索病毒变种,其传播方式和WannaCry类似,但该病毒除了使用永恒之蓝(MS17-010)漏洞之外,还罕见使用了黑客的横向渗透攻击技术。在勒索方面与WannaCry等不同之处在于,Petya木马主要通过加密硬盘驱动器主文件表(
解决重装VC++所遇到问题的方法(关于“内存不能read”)
ROACH11
03-23 842
<br />         很多朋友应该都遇到过这样的问题:以前装过一些软件由于客观原因需要再次安装这个软件时,发现老是弹出错误提示框,说什么程序错误,不能安装。<br />        由于以前没有学好数据结构,想补习一下,决定装VC++6.0,可是点击VC++的安装包的时候,老是弹出错误提示框,如下图:<br /><br />根据网友的信息弄了很久都没解决,最后在一个贴吧找到了解决方法,解决方法如下:<br />1. 进入系统目录, windows/system32/,找到名为Perfc009.da
perf命令文档
Jeff_Dean的博客
11-21 1675
文章目录perf选项描述perf top选项perf recordperf reportperf listperf stat perf Linux下的性能分析工具 perf [--version] [--help] [OPTIONS] COMMAND [ARGS] 选项 –debug 设置调试变量,值的范围(0,10) 使用实例: --debug verbose #设置verbose为1...
防御Petya勒索病毒解决方案.docx
10-13
防御Petya勒索病毒解决方案.docx
petya勒索病毒免疫工具 v4.0
09-16
petya勒索病毒免疫工具 v4.0是款绿色软件,不仅能检测修复常见系统漏洞还能对常见病毒进行免疫,是对不喜欢对系统安装杀毒软件的人的不二之选
Petya来袭,腾讯云快速响应提供安全解决方案.docx
10-26
Petya是一种严重的勒索病毒,于2017年6月27日大规模爆发,主要针对欧洲地区,尤其是乌克兰,影响了多个关键基础设施,包括政府机构、银行、ATM机、机场以及核电站等。此病毒的攻击性极强,能够迅速传播,且具有类似...
Petya解密工具.zip
01-20
现在,我们来详细探讨Petya勒索软件以及相关的解密工具。 首先,了解Petya的工作原理至关重要。Petya并不是典型的勒索软件,它采用了更复杂的方法,称为“主引导记录”(MBR)感染。传统的勒索软件通常加密用户文件...
Petya解密工具
06-26
Petya解密工具
IniFile.7z 读取ini的配置文件
12-08
通过api函数读取配置文件,包装为dll了,可在VB,C#里使用
安装sql server 2008“性能计数器注册表配置单元一致性”失败的解决办法 的 dat文件下载
05-20
解决办法就是重新生成性能计数器库值,具体如下: 1)从Window XP 或 Windows 2003 光盘中提出"PERFC009.DA_文件"PERFH009.DA_"文件,通常它们位于光盘的 \i386 目录中,然后进入cdm,键入下面的命令分别展开它们: expand perfc009.da_ expand perfh009.da_ 然后把展开出来的 perfc009.dat 和 perfh009.dat 替换 windows\system32\ 下的同名文件。    展开方式如下:    2)启动注册表编辑器,然后在注册表中查找以下项: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Perflib 将"LastCounter"值更改为 1846(十进制),并将"LastHelp"值更改为 1847(十进制)。    3)继续找到以下注册表项 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 如果存在 Performance 子项,则删除以下值: ? FirstCounter ? FirstHelp ? LastCounter ? LastHelp    4)打开cmd, 键入 cd %Systemroot%\System32 findstr drivername *.ini 然后按 Enter。 注意列表中每个驱动程序名称所对应的 .ini 文件名。 在命令提示符处,键入下面一行,然后按 Enter: lodctr inifile 其中,inifile 是对应您要重新加载的驱动程序的 .ini 文件名。 例如,如果打算重新加载 ASP 驱动程序,则第 4 步中出现的列表将显示 Axperf.ini 是用于 ASP 驱动程序的 .ini 文件 (axperf.ini:drivername=ASP)。因此,要重新加载 ASP 驱动程序,请在命令提示符处键入 lodctr axperf.ini,然后按 Enter。 下面我以 Windows XP 为例,把执行的步骤写上来,建一个bat文件,复制进去执行就可以了。 lodctr esentprf.ini lodctr mqperf.ini lodctr msdtcprf.ini lodctr perfci.ini lodctr perffilt.ini lodctr perfwci.ini lodctr pschdprf.ini lodctr rasctrs.ini lodctr rsvp.ini lodctr tslabels.ini pause    5)重新启动计算机。 最后还是cmd: cd \windows\system32 lodctr /R 注意:/R 是大写。 这时,已经可以看到性能计数器库值已完成了重新生成。   再来看看sql server 2008的安装,一切正常 细节和需要注意的地方,请参考微软支持(http://support.microsoft.com/kb/300956/zh-cn)   如果出现下面这种情况   退后两步,设置成 就行了   再回去看看 一切正常
SQL Server 2005/2008 安装过程中遇到“性能计数器注册表配置单元一致性”检查失败的解决方法...
tubaluer
10-08 168
一、问题描述: 在Windows Server 2003 、Windows XP或者Windows 2000中安装 SQL SERVER 2008 开发版和企业版时,会遇到“性能计数器注册表配置单元一致性”检查失败 的问题 (图一) 安装提示错误信息为: (图二) 二、解决方法: 先根据帮助提示,打开 http://support.microsoft.com/kb/300956, ...
Petya勒索病毒(2016.4月样本)分析笔记
r250414958的博客
11-28 4234
前言 之所以不叫分析报告,是因为接下来要看到的分析,可能包含了不正确的,或者有疑点,和未完全分析的,里面有我个人的主观臆断,或者一些我目前未察觉的错误,还有一些非常基础,非常啰嗦的内容,这都是为了复习我以前的一些知识,或者是做一个记录防止以后可能需要用到。还有一些可能在分析中新学习的知识可能有很多不正确,或者不确定,因为我个人能力有限没察觉到的地方,所以只能称为我个人的分析笔记,因为我当时是这样想...
如何手动重新生成性能计数器库值
花开的声音(Mr’yan的技术集)
08-01 969
 当您使用系统监视器工具时,有些计数器可能丢失,或者其中未包含计数器数据。基本的性能计数器库集可能被损坏,并且可能需要和任何可扩展计数器一起重新生成。如果某些可扩展计数器损坏了注册表,或者某些基于 Windows Management Instrumentation (WMI)的程序修改了注册表,就可能会发生此问题。 可扩展计数器信息存储在以下两个位置中: 以下注
安装sql server 2008“性能计数器注册表配置单元一致性”失败的解决办法
Wyao的专栏
05-20 3917
解决办法就是重新生成性能计数器库值,具体如下:1)从Window XP 或 Windows 2003 光盘中提出“PERFC009.DA_文件“PERFH009.DA_"文件,通常它们位于光盘的 /i386 目录中,然后进入cdm,键入下面的命令分别展开它们:expand perfc009.da_ expand perfh009.da_然后把展开出来的 perfc009.dat 和 perfh00
GhostPetya骷髅头病毒分析
安全杂货铺
12-13 6444
这是主函数入口,看到如下红框,调用的函数的地址都是动态生成的,只能使用OD进行调试了。 一路单步步过,没做什么操作,一开始我调试时老是跑飞,不知道病毒心代码的入口在哪,最后,才发现下图红框EnumWindowStationsW函数处是入口。EnumWindowStationsW的作用是为窗口注册触发一个回调函数,这里的回调函数是0x4364AC。 ...
SQL Server 2008 安装过程中遇到“性能计数器注册表配置单元一致性”检查失败 问题的解决方法
热门推荐
AndyElvis的专栏
11-08 2万+
原文出自:http://www.cnblogs.com/bigboo/archive/2008/09/30/1302483.html 在Windows Server 2003 、Windows XP或者Windows 2000中安装 SQL SERVER 2008 开发版和企业版时,会遇到“性能计数器注册表配置单元一致性”检查失败 的问题(Windows Server 2008 由于暂时没
Petya 非常喜欢幸运数字。 大家都知道幸运数字是正整数,其十进制记录只包含幸运数字 4 和 7。例如数字 47、744、4是幸运数字,而 5、17、467则不是。 Petya 有两个长度相同的字符串 a 和 b。 字符串仅包含幸运数字。 Petya 可以执行两种类型的操作: 将字符串 a中的任何一位数字替换为相反的数字(即,将 4 替换为 7,将 7 替换为 4); 交换字符串 a 中的任意一对数字。 Petya 对使字符串 a 等于字符串 b 所需的最少操作数感兴趣。 帮助他完成任务。 输入格式 第一行和第二行分别包含字符串 a 和 b。 字符串 a 和 b 的长度相等,并且只包含幸运数字。 字符串不为空,长度不超过 105。 输出格式 在单行上打印单个数字——将字符串 a 转换为字符串 b 所需的最少操作数。 输入输出样例 输入1 47 74 输出1 1
最新发布
06-13
解法:贪心算法 如果两个字符串不相等,那么它们必定至少有一位不一样。考虑对于这一位,我们应该对字符串 a 进行哪种操作,才能使得它更接近于字符串 b。 首先,我们可以通过交换字符串 a 中的两个数字,使得这一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值