並非勒索軟體？Petya 的真實面目令人遐想

勒索軟體：是一種特殊的惡意軟體，又被人歸類為「阻斷訪問式攻擊」（denial-of-access attack），其與其他病毒最大的不同在於手法以及中毒方式。其中一種勒索軟體僅是單純地將受害者的電腦鎖起來，而另一種則系統性地加密受害者硬碟上的文件。所有的勒索軟體都會要求受害者繳納贖金以取回對電腦的控制權，或是取回受害者根本無從自行獲取的解密密鑰以便解密檔案。勒索軟體通常通過木馬病毒的形式傳播，將自身為掩蓋為看似無害的文件，通常會通過假冒成普通的電子郵件等社會工程學方法欺騙受害者點擊鏈接下載，但也有可能與許多其他蠕蟲病毒一樣利用軟體的漏洞在聯網的電腦間傳播。

——維基百科

在近段時間，因為 Petya 變種而導致的全球性大規模網路攻擊成為頭條新聞，許多國家的電腦受到感染，包括俄羅斯，烏克蘭，法國，印度和美國。但有新的分析顯示，惡意軟體被設計為看起來像 ransomware，但是實際上是為破壞目的設計的 wiper 惡意軟體。Comae Technologies 的創始人 Matt Suiche 的研究人員解釋說，他的團隊對攻擊中使用的 Petya 樣本進行的分析顯示了其 wiper 功能。

攻擊者可能使用了一種轉型戰略來隱藏國家對烏克蘭關鍵基礎設施的攻擊。卡巴斯基的專家進行了類似的研究，得出了類似的結論。與其他 ransomware 不同，Petya 不會對受感染系統上的文件加密，而是針對硬碟驅動器的主文件表（MFT），並使主引導記錄（MBR）無法運行。Petya通過加密主文件表（MFT）來鎖定對用戶數據的訪問，並用自己的惡意代碼替換計算機的MBR，該代碼顯示贖金。Petya 覆蓋硬碟驅動器的 MBR，導致 Windows 崩潰。當受害者嘗試重新啟動 PC 時，甚至在安全模式下也不可能載入操作系統。

「如果您看到這個文本，那麼您的文件不再可訪問，因為它們已被加密。也許你正在忙於尋找一種恢復文件的方法，但不要浪費你的時間。沒有我們的解密服務，沒有人可以恢復你的文件。」超過40名受害者已經支付了贖金來恢復檔案，但不幸的是他們的問題並不會得到解決。來自卡巴斯基實驗室的加密程序分析專家發現，為了解密文件，威脅分析員需要安裝 ID，不幸的是，他的 NotPetya 沒有。

「根據主板上的更新，德國電子郵件提供商 Posteo 已經關閉了受害者應該使用的電子郵件地址，以阻止聯繫勒索者並發送比特幣和從中接收解密密鑰。在電子郵件地址被阻止的情況下，受害者將無法支付犯罪分子或將其文件恢復。在卡巴斯基實驗室，我們不主張支付贖金，但在這種情況下，這絕對沒有意義。」卡巴斯基發表了一篇博客文章。卡巴斯基實驗室研究人員分析了加密程序的高級代碼，並確定在磁碟加密後，威脅執行者無法解密受害者的磁碟。要解密，威脅分析員需要安裝 ID。在以前版本的似乎類似的 ransomware（如Petya / Mischa / GoldenEye）中，此安裝 ID 包含密鑰恢復所需的信息。

ExPetr（又名NotPetya / Petya）沒有安裝ID（ExPetr 贖金注釋中顯示的「安裝密鑰」只是一個隨機的亂碼），這意味著威脅執行者無法提取解密所需的必要信息。也就是說，受害者無法恢復他們的資料。

總結下來，在大規模攻擊中分析的 Petya 的新變種是為破壞而開發的，它是一種破壞性的惡意軟體，背後不具備經濟動力。

ref:

Notpetya – The Petya variant used in the massive attack is a wiper disguised by a ransomware
推薦閱讀：