2017年6月27日，一个名为Petya的勒索软件开始大肆传播，导致许多企业遭受攻击。

图1. 企业受到攻击数量最多的国家（Top 20）

与WannaCry勒索病毒类似，Petya同样利用“永恒之蓝”漏洞进行传播。但除此之外，Petya还使用了传统SMB网络传播技术，这意味着即便企业已经安装“永恒之蓝”补丁，Petya依然能够在企业内部进行传播。

初始感染方式

赛门铁克已经证实，网络攻击者在最初Petya入侵企业网络的过程中，使用了MEDoc。MeDoc是一种税务和会计软件包，该工具在乌克兰被广泛使用，这也表明，乌克兰企业是攻击者此次攻击的主要目标。

在获得最初的立足点后，Petya便开始利用不同方式在整个企业网络中进行传播。

传播和横向传播

Petya是一种蠕虫病毒，该病毒能够通过建立目标计算机列表，并使用两种方法在计算机中实现自传播。

IP地址和认证信息收集

Petya通过建立包含本地局域网（LAN）中的主要地址与远程IP在内的IP地址列表来进行传播。

一旦确定目标计算机列表，Petya将列出一份用户名和密码列表，并通过该列表向目标计算机进行传播。用户名和密码列表会保存在内存中。Petya收集认证信息有两种方式：

● 在Windows凭据管理器中收集用户名和密码

● 投放并执行一个32位或64位的认证信息转储器

横向传播

Petya实现网络传播的主要方式有两种：

● 在网络共享里实现传播：Petya通过使用获取的认证信息，自行复制到[COMPUTER NAME]\admin$，从而向目标计算机传播。之后，该病毒会使用PsExec或Windows管理规范命令行 (WMIC) 工具远程实现传播。上述所提到的两种工具均是合法工具。

● SMB漏洞：Petya使用“永恒之蓝”和“永恒浪漫”这两种漏洞的变体进行传播。

初始感染和安装

Petya起初会通过rundll32.exe加以执行，并使用以下指令：

● rundll32.exe perfc.dat, #1

一旦动态链接库(DLL)开始加载，该程序会首先尝试将自己从受感染系统中移除。在最后将文件从磁盘中删除之前，它会打开此文件并用空字符覆盖文件内容，目的是阻止用户通过取证技术来恢复文件。

随后，该程序将试图创建以下文件，用于标记已受感染的计算机：

● C:Windowsperfc

MBR感染和加密

Petya在安装完成后，会修改主引导记录(MBR)，使该病毒能够在系统重启时，劫持受感染计算机的正常加载过程。受到修改后的MBR可用来加密硬盘，并同时模拟磁盘检查(CHKDSK)界面，该界面随后将向用户显示勒索信息。

文件加密

Petya有2种加密文件的方式

● 在Petya传播至其他计算机之后，用户模式加密将会发生，磁盘中带有特定扩展名的文件遭到加密。

● MBR受到修改，并加入定制加载器，用于加载CHKDSK模拟器。该模拟器的目的在于隐藏磁盘加密行为。上述活动会在用户模式加密发生后完成，因此，这种加密采用了双重加密：用户模式加密和全磁盘加密。