你以为Petya真的是勒索软件吗?背后可能是一次国家级攻击

最近两天, Petya勒索软件席卷欧洲 ,包括乌克兰首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击,Petya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。

但研究人员的最新研究结果显示,这款病毒其实是个文件擦除病毒,勒索只是其表象。专家称,Petya的行为就是个勒索软件,但是里面的源码显示,用户其实是无法恢复文件的。

加密过程

在昨天的报道文章中,我们就曾提到,卡巴斯基认为这次出现的勒索软件并非Petya变种,二者也并非出自同一个作者,因此有研究人员将其称为NotPetya、Petna或者SortaPetya。

Petya释放的文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。

与传统的勒索软件不同的是,Petya并非逐个加密单个文件,而是破坏MBR,使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,加密磁盘的MFT等恶意操作。

最终,Petya会显示如下界面让感染者提交赎金获得解密密钥,按照道理,用户应该向勒索软件作者发送邮件,附上自己的感染ID,再索取密钥。

值得一提的是,原版的Petya勒索程序会对MBR副本进行加密,然后将其替换为其恶意代码,并显示勒索信息——这样一来计算机就无法启动了。 但这次的Petya(或者应该叫NotPetya)根本就不会保留MBR副本,不管是作者有意为之还是不小心犯的错误,即便获取到解密密钥也无法启动被感染的计算机。

压根没想帮你恢复文件

目前为止45位受害者向病毒作者支付了10,500美元的赎金,但他们无法恢复文件。

大家可能知道,Petya所使用的邮箱服务商之前关闭了其邮箱,导致的结果是感染者无法联系作者获得解密密钥。但即便用户真的买了比特币发送邮件给作者,还是无法恢复文件。而且实际上,从一开始病毒作者就没有想要帮助用户恢复文件。

无法恢复文件的原因就是, Petya新变种生成的感染ID是随机的 。对于像Petya这样没有C&C服务器进行进一步数据传输的勒索软件来说,通常这种ID会存储关于感染电脑的信息和解密密钥。

但是根据卡巴斯基专家的 研究 ,因为Petya随机生成了这个ID,因此攻击者根本无法恢复文件。

“这对于感染者来说显然是最糟糕的消息——即便支付赎金,他们也要不回数据。其次这就证实了我们的结论,即ExPetr攻击并不是为了经济目的,而是为了造成毁灭性打击。”卡巴斯基专家Ivanov说道。

另一位来自Comae Technologies的研究员Matt Suiche也从另一个角度 证实 了卡巴斯基的结论, 他提到病毒中的一系列错误操作导致原来的MFT(主文件表)无法恢复:

“原版的Petya对磁盘所作的更改是可逆的,但(这次的)Petya无法还原磁盘的原来状态。”

制造骚乱

基于此,在过去的24小时里,有关Petya真正目的的猜测戏剧性地转向。

威胁情报专家The Grugq率先在他的报告中 指出 ,Petya没有遵循一般勒索软件的套路。

“之前真正的Petya是为了赚钱而制作的, 而这个Petya变种完全不是为了钱 ,”The Grugq提到,“他被用来进行快速传播从而造成破坏。”

没有解密功能的勒索基本就等同于磁盘擦除器了。正因为Petya没有真正的解密机制,也就代表勒索软件实际上是没有长期盈利的目的的。

Petya原作者在twitter上称,Petya新变种并不是由他制作,打破了之前部分指责Petya作者的谣言。

顺便一提,JANUS是第二个作出如此澄清的勒索软件作者。今年5月,AES-NI勒索软件作者也做了相关澄清,表示自己没有制作XData勒索软件,这款XData勒索软件也被用于攻击乌克兰。另外,XData和Petya用到了相同的传播向量——乌克兰会计软件制造商MeDoc的更新服务器。

像Petya这样勒索用户但不恢复文件的病毒已经发生多次。去年下半年就有多份报道,比如Shamoon和KillDisk,都是磁盘擦除的病毒。另外,工业病毒也开始具备磁盘擦除功能。

在这次攻击中遭受最严重攻击的乌克兰也是事件的一个亮点。 Matt Suiche在研究中得出的结论是,唯一的解释是这实际上是一场伪装的国家级网络攻击。

Petya的攻击重点在乌克兰,因为它通过MeDoc恶意推送进行传播,并且Petya具备强大的传播特性,但最初的几例感染事件都发生在乌克兰。而乌克兰政府官员已经把矛头指向俄罗斯,自2014年开始的多次网络攻击事件中,俄罗斯一直是乌克兰指责的幕后黑手。

虽然我们无从得知事件的真相,但Petya可能没有想象中的那么简单,它可能是与Stuxnet和BlackEnergy类似的用于政治目的的网络武器,而非单纯的勒索软件。

* 参考来源: HackerNews , BleepingComputer ,FreeBuf小编Sphinx编译,转载请注明来自FreeBuf.COM

FreeBuf稿源:FreeBuf (源链) | 关于 | 阅读提示

本站遵循[CC BY-NC-SA 4.0]。如您有版权、意见投诉等问题,请通过eMail联系我们处理。
酷辣虫 » 综合技术 » 你以为Petya真的是勒索软件吗?背后可能是一次国家级攻击

喜欢 (0)or分享给?

专业 x 专注 x 聚合 x 分享 CC BY-NC-SA 4.0

使用声明 | 英豪名录