2017.06.28

Doctor Web公司技术人员对新的木马加密器Trojan.Encoder.12544（媒体将此木马称为Petya、Petya.A和WannaCry-2）进行了全面研究。根据目前的分析结果，Doctor Web公司在此对如何避免被感染提出建议，提示用户被感染后应如何操作，并对此次攻击的技术详情进行剖析。

轰动一时的加密蠕虫Trojan.Encoder.12544能对Microsoft Windows个人电脑造成严重威胁。很多相关报道中将其称为Petya（Trojan.Ransom.369）木马的变种，实际上，Trojan.Encoder.12544与这一木马只是略微相似。只有新恶意程序得以入侵乌克兰国家机构、银行和商业机构的信息系统，同时还感染了多家俄罗斯企业的计算机。

据目前的情况判断，新木马与之前WannaCry感染计算机利用的是同样的系统漏洞。Trojan.Encoder.12544从2017年6月27日上午开始大规模传播，一旦在受攻击计算机启动，木马就会利用多种方式查找局域网内其他可访问的计算机，随后根据获取的IP地址列表搜索445和139端口。Trojan.Encoder.12544在网络发现打开上述端口的电脑后，就会利用广为人知的SMB协议漏洞（MS17-10）对其进行感染。

木马包含两个压缩资源，分别是Windows对话密码截获工具Mimikatz的32位和64位版本。根据受攻击电脑操作系统的位数，的，将其保存到临时文件夹并启动。Trojan.Encoder.12544利用Mimikatz及其他两种方式获取在被感染计算机登录的本地用户和域名用户列表，随后查找可写入的网络文件夹，利用获取的帐户信息将其打开并保存自身备份。Trojan.Encoder.12544利用计算机远程控制工具PsExec（这一工具也保存在木马资源中）或常规控制台工具调取Wmic.exe对象，感染已获取访问权限的计算机。

木马加密器利用其保存在C:\Windows\文件夹中的文件来控制自身的二次启动。这一文件的名称与没有扩展名的木马名称相一致。不法分子目前传播的蠕虫名为perfc.dat，因此防止二次启动的文件的名称是C:\Windows\perfc。但如果不法分子修改了木马初始名，在C:\Windows\文件夹创建没有扩展名的名为perfc的文件（某些反病毒公司建议用户采取的措施）就不能防止计算机感染。

木马启动后为自己设置优先权限，将自己的副本下载到内存并授予其管理权限。随后木马加密器会使用垃圾数据覆盖磁盘中的自身文件并删除。Trojan.Encoder.12544会利用XOR算法加密原有的Windows引导记录，并将原有的记录复制到磁盘其他区域，使用自己的记录替代原记录。同时木马会毁坏C盘VBR（Volume Boot Record，卷引导记录）：第一个磁盘扇区被垃圾数据填满。重启计算机后木马引导记录开始控制计算机，在被感染计算机屏幕上显示类似常规磁盘检查工具CHDISK的消息文本，而此时Trojan.Encoder.12544暗中加密磁盘中的文件。

木马只加密计算机固定磁盘中的文件，且每个磁盘中的数据以单独线程加密。加密文件利用的是AES-128-CBC算法，为每个磁盘分别创建密钥。密钥利用RSA-2048算法加密并保存到系统盘根文件夹中名为README.TXT的文件中。被加密文件没有额外扩展名。此外，木马还能够清空系统日志。完成加密后，Trojan.Encoder.12544会在屏幕上显示不法分子关于支付赎金的要求。

尽管Doctor Web公司技术支持部门暂未接到Trojan.Encoder.12544木马加密器受害者的求助，但我们仍认为这一木马非常危险。计算机已被感染的表象之一是C:\Windows文件夹中出现没有扩展名的文件perfc。如果您发现这一文件，千万不要重启计算机！

如果计算机已重启，启动时屏幕上出现启动CHDISK工具的通知，请立即切断计算机电源。这种情况下引导记录将被损坏，但可通过磁盘启动利用Windows恢复工具或还原控制台进行修复。还可使用Dr.Web LiveDisk修复记录，具体操作是创建引导磁盘或闪存盘，从移动盘下载，启动Dr.Web扫描仪，对受损磁盘进行扫描，之后选择解除威胁。

为了防止遭受木马Trojan.Encoder.12544的危害，Doctor Web公司建议用户将所有重要数据及时备份到独立的可移动载体，同时启用Dr.Web反病毒软件“防止数据丢失”功能。此外，用户还需要安装操作系统的所有安全更新。Doctor Web公司技术人员将对Trojan.Encoder.12544木马加密器继续进行研究。