你以为Petya真的是勒索软件吗?背后可能是一次国家级攻击

综合技术 2017-06-29

最近两天, Petya勒索软件席卷欧洲 ,包括乌克兰首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击,Petya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。

但研究人员的最新研究结果显示,这款病毒其实是个文件擦除病毒,勒索只是其表象。专家称,Petya的行为就是个勒索软件,但是里面的源码显示,用户其实是无法恢复文件的。

加密过程

在昨天的报道文章中,我们就曾提到,卡巴斯基认为这次出现的勒索软件并非Petya变种,二者也并非出自同一个作者,因此有研究人员将其称为NotPetya、Petna或者SortaPetya。

Petya释放的文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。

与传统的勒索软件不同的是,Petya并非逐个加密单个文件,而是破坏MBR,使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,加密磁盘的MFT等恶意操作。

最终,Petya会显示如下界面让感染者提交赎金获得解密密钥,按照道理,用户应该向勒索软件作者发送邮件,附上自己的感染ID,再索取密钥。

值得一提的是,原版的Petya勒索程序会对MBR副本进行加密,然后将其替换为其恶意代码,并显示勒索信息——这样一来计算机就无法启动了。 但这次的Petya(或者应该叫NotPetya)根本就不会保留MBR副本,不管是作者有意为之还是不小心犯的错误,即便获取到解密密钥也无法启动被感染的计算机。

压根没想帮你恢复文件

目前为止45位受害者向病毒作者支付了10,500美元的赎金,但他们无法恢复文件。

大家可能知道,Petya所使用的邮箱服务商之前关闭了其邮箱,导致的结果是感染者无法联系作者获得解密密钥。但即便用户真的买了比特币发送邮件给作者,还是无法恢复文件。而且实际上,从一开始病毒作者就没有想要帮助用户恢复文件。

无法恢复文件的原因就是, Petya新变种生成的感染ID是随机的 。对于像Petya这样没有C&C服务器进行进一步数据传输的勒索软件来说,通常这种ID会存储关于感染电脑的信息和解密密钥。

但是根据卡巴斯基专家的 研究 ,因为Petya随机生成了这个ID,因此攻击者根本无法恢复文件。

“这对于感染者来说显然是最糟糕的消息——即便支付赎金,他们也要不回数据。其次这就证实了我们的结论,即ExPetr攻击并不是为了经济目的,而是为了造成毁灭性打击。”卡巴斯基专家Ivanov说道。

另一位来自Comae Technologies的研究员Matt Suiche也从另一个角度 证实 了卡巴斯基的结论, 他提到病毒中的一系列错误操作导致原来的MFT(主文件表)无法恢复:

“原版的Petya对磁盘所作的更改是可逆的,但(这次的)Petya无法还原磁盘的原来状态。”

制造骚乱

基于此,在过去的24小时里,有关Petya真正目的的猜测戏剧性地转向。

威胁情报专家The Grugq率先在他的报告中 指出 ,Petya没有遵循一般勒索软件的套路。

“之前真正的Petya是为了赚钱而制作的, 而这个Petya变种完全不是为了钱 ,”The Grugq提到,“他被用来进行快速传播从而造成破坏。”

没有解密功能的勒索基本就等同于磁盘擦除器了。正因为Petya没有真正的解密机制,也就代表勒索软件实际上是没有长期盈利的目的的。

Petya原作者在twitter上称,Petya新变种并不是由他制作,打破了之前部分指责Petya作者的谣言。

顺便一提,JANUS是第二个作出如此澄清的勒索软件作者。今年5月,AES-NI勒索软件作者也做了相关澄清,表示自己没有制作XData勒索软件,这款XData勒索软件也被用于攻击乌克兰。另外,XData和Petya用到了相同的传播向量——乌克兰会计软件制造商MeDoc的更新服务器。

像Petya这样勒索用户但不恢复文件的病毒已经发生多次。去年下半年就有多份报道,比如Shamoon和KillDisk,都是磁盘擦除的病毒。另外,工业病毒也开始具备磁盘擦除功能。

在这次攻击中遭受最严重攻击的乌克兰也是事件的一个亮点。 Matt Suiche在研究中得出的结论是,唯一的解释是这实际上是一场伪装的国家级网络攻击。

Petya的攻击重点在乌克兰,因为它通过MeDoc恶意推送进行传播,并且Petya具备强大的传播特性,但最初的几例感染事件都发生在乌克兰。而乌克兰政府官员已经把矛头指向俄罗斯,自2014年开始的多次网络攻击事件中,俄罗斯一直是乌克兰指责的幕后黑手。

虽然我们无从得知事件的真相,但Petya可能没有想象中的那么简单,它可能是与Stuxnet和BlackEnergy类似的用于政治目的的网络武器,而非单纯的勒索软件。

* 参考来源: HackerNews , BleepingComputer ,FreeBuf小编Sphinx编译,转载请注明来自FreeBuf.COM

您可能感兴趣的

09葵花宝典Openssl和DNS 09葵花宝典Openssl和DNS 本节主要介绍网络上相关数据加密和DNS知识,以及在linux上的实现。 一、常见加解密知识 数据加密是现代网络应用的基础之一。加密技术好比人类的衣服,第一实现了抵御自然环境的变化,第二使人类迈向了文明。 通常来讲,加密就是使用密钥K将数据从A变成B...
Notice:undefined variable Hope everyone is fine over there 🙂 Actually I am getting the multiple errors of undefined variable but code seems perfectly alright. I am getting...
Python – Basics of Cryptography and API Python is a great programming language for data analysis, web development, networking and more. While working with data , storing in files, sending to...
有一种错觉,叫你觉得你的设备很安全…... 所谓哪里有钱赚,哪里就有犯罪分子的身影。 在移动互联网时代,中国电商蓬勃发展,诸如全球最大的在线交易市场阿里巴巴等购物网站,通过包括支付宝在内的支付系统每年创造数以亿计的收入,这为黑客提供了天然的“犯罪温床”。 然而,随着互联网技术深入到无处不在的“物物”,启迪新物种“边缘智能”...
区块链在互联网借贷领域的应用探索 说明 这篇文章转载在 《区块链在互联网借贷领域的应用探索》 ,是一篇难得的将应用场景和实现方法讲明白的文章。 业务背景 在金融借贷领域,获客、资金和数据安全是核心痛点。随着互联网人口红利的消失,获客成本日益高企,提高客户转化率成为金融借贷机构解决痛点的有效措施。当借贷机构通过各...