主页 > imtoken靠谱吗 > 你认为 Petya 真的是勒索软件吗?它背后可能是民族国家的攻击
你认为 Petya 真的是勒索软件吗?它背后可能是民族国家的攻击
你认为 Petya 真的是勒索软件吗? 背后可能是国家级攻击。 这两天,Petya勒索病毒席卷欧洲,包括乌克兰首都基辅鲍里斯波尔国际机场、乌克兰国家储蓄银行、航运公司、俄罗斯石油公司、部分乌克兰商业银行,以及部分私营企业、零售企业、和政府系统。 说到此次攻击,受Petya影响的国家还包括英国、印度、荷兰、西班牙、丹麦等。
但研究人员的最新发现表明,该病毒实际上是文件擦除病毒,勒索病毒只是表象。 专家称Petya的行为是勒索软件,但里面的源代码显示用户实际上无法恢复文件。
是不小心弄错了,还是故意弄错了?
在昨天的报道文章中,我们提到卡巴斯基认为此次出现的勒索病毒不是Petya变种,且两者并非同一作者,因此有研究人员称其为NotPetya、Petna或SortaPetya。
Petya投放的文件将恶意代码写入磁盘头部,被感染系统的主引导记录被引导加载程序重写比特币邮件 性勒索是真的吗,并加载了一个微小的恶意内核。 接下来,内核开始加密。
与传统勒索软件不同,Petya 不会对单个文件进行逐个加密,而是破坏 MBR,使用户无法进入系统。 当电脑重新启动时,病毒代码会先于Windows操作系统接管电脑,加密磁盘的MFT等恶意操作。
最后,Petya会显示如下界面让感染者提交赎金以获取解密密钥。 按照逻辑,用户应该给勒索软件作者发邮件,附上他的感染ID,然后索要密钥。
值得一提的是,最初的 Petya 勒索软件保留了 MBR 的加密副本,然后用恶意代码替换它并显示勒索信息——让计算机无法启动。 但是这次Petya(或者应该叫NotPetya)根本不会保留MBR副本,不管是作者有意还是无意,即使获得了解密密钥,被感染的电脑也无法启动.
我什至不想帮你恢复你的文件
到目前为止,已有 45 名受害者向病毒作者支付了 10,500 美元的赎金,但他们一直无法恢复自己的文件。
大家可能知道,之前Petya使用的邮箱服务商关闭了邮箱。 结果,感染者无法联系作者获取解密密钥。 但即使用户真的购买了比特币并给作者发了邮件,文件也无法恢复。 事实上,病毒编写者从一开始就不想帮助用户恢复文件。
之所以无法恢复文件,是因为这次Petya生成的感染ID是随机的。 对于像 Petya 这样没有用于进一步数据传输的 C&C 服务器的勒索软件,通常此 ID 存储有关受感染计算机和解密密钥的信息。
但根据卡巴斯基专家的研究,由于 Petya 随机生成了这个 ID,攻击者根本无法恢复文件。
“对于受感染者来说比特币邮件 性勒索是真的吗,这显然是最坏的消息——即使他们支付了赎金,也无法取回数据。 其次,它证实了我们的结论,即 ExPetr 攻击不是出于经济动机,而是破坏性的罢工,”卡巴斯基专家伊万诺夫说。
Comae Technologies的另一位研究员Matt Suiche也从另一个角度证实了卡巴斯基的结论。 他提到病毒中的一系列错误操作使得原来的MFT(Master File Table)无法恢复:
“原始 Petya 对磁盘所做的更改是可逆的,但(这次)Petya 无法恢复磁盘的原始状态。”
制造骚乱
基于此,关于Petya真实目的的猜测在过去24小时内发生了戏剧性的转变。
威胁情报专家 The Grugq 是第一个在他的报告中指出 Petya 没有遵循通常的勒索软件公式的人。
“真正的 Petya 是为了赚钱,而这个 Petya 变体根本不是为了钱,”The Grugq 提到,“它被用来快速传播并造成破坏。”
没有解密的勒索软件基本上等同于磁盘擦除器。 正因为Petya没有真正的解密机制,就说明勒索软件其实并没有长远的盈利目的。
Petya原作者在推特上表示,这次NotPetya不是他出品,打破了部分归咎于Petya作者的谣言。
顺便说一句,JANUS 是第二位做出此类澄清的勒索软件作者。 今年5月,AES-NI勒索软件的作者也澄清自己没有制作同样用于攻击乌克兰的XData勒索软件。 此外,XData 和 Petya 使用相同的传播媒介——乌克兰会计软件制造商 Medoc 的更新服务器。
像Petya这样勒索用户但不恢复文件的病毒已经发生过多次。 去年下半年有很多报道,比如Shamoon、KillDisk就是磁盘擦除病毒。 此外,工业病毒也开始具备了磁盘擦除功能。
在此次袭击中受灾最重的乌克兰,也是事件中的一个亮点。 Matt Suiche 在他的研究中得出结论,唯一的解释是这实际上是一次变相的国家级网络攻击。
Petya的攻击主要集中在乌克兰,因为它是通过Medoc恶意推送传播的,Petya具有很强的传播特性,但前几次感染都发生在乌克兰。 乌克兰政府官员将矛头指向俄罗斯,自 2014 年以来,乌克兰一直指责俄罗斯发动了多次网络攻击。
虽然我们无从得知事件的真相,但佩佳可能并没有想象中的那么简单。 它可能是类似于 Stuxnet 和 BlackEnergy 的出于政治目的的网络武器,而不是纯粹的勒索软件。
