你以为Petya真的是勒索软件吗?背后可能是一次国家级攻击

最近两天,Petya勒索软件席卷欧洲,包括乌克兰首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击,Petya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。

但研究人员的最新研究结果显示,这款病毒其实是个文件擦除病毒,勒索只是其表象。专家称,虽然Petya的行为像是勒索软件,但是里面的源码显示,用户其实是无法恢复文件的。

不小心犯错,还是有意为之?

在昨天的报道文章中,我们就曾提到,卡巴斯基认为这次出现的勒索软件并非Petya变种,二者也并非出自同一个作者,因此有研究人员将其称为NotPetya、Petna或者SortaPetya。

Petya释放的文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。

与传统的勒索软件不同的是,Petya并非逐个加密单个文件,而是破坏MBR,使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,加密磁盘的MFT等恶意操作。

最终,Petya会显示如下界面让感染者提交赎金获得解密密钥,按照道理,用户应该向勒索软件作者发送邮件,附上自己的感染ID,再索取密钥。

值得一提的是,原版的Petya勒索程序会保留加密的MBR副本,然后将其替换为其恶意代码,并显示勒索信息——这样一来计算机就无法启动了。但这次的Petya(或者应该叫NotPetya)根本就不会保留MBR副本,不管是作者有意为之还是不小心犯的错误,即便真的获取到解密密钥也无法启动被感染的计算机。

压根没想帮你恢复文件

目前为止45位受害者向病毒作者支付了10,500美元的赎金,但他们无法恢复文件。

大家可能知道,Petya所使用的邮箱服务商之前关闭了其邮箱,导致的结果是感染者无法联系作者获得解密密钥。但即便用户真的买了比特币发送邮件给作者,还是无法恢复文件。而且实际上,从一开始病毒作者就没有想要帮助用户恢复文件。

无法恢复文件的原因就是,这次的Petya生成的感染ID是随机的。对于像Petya这样没有C&C服务器进行进一步数据传输的勒索软件来说,通常这种ID会存储关于感染电脑的信息和解密密钥。

但是根据卡巴斯基专家的研究,因为Petya随机生成了这个ID,因此攻击者根本无法恢复文件。

“这对于感染者来说显然是最糟糕的消息——即便支付赎金,他们也要不回数据。其次这就证实了我们的结论,即ExPetr攻击并不是为了经济目的,而是为了造成毁灭性打击。”卡巴斯基专家Ivanov说道。

另一位来自Comae Technologies的研究员Matt Suiche也从另一个角度证实了卡巴斯基的结论,他提到病毒中的一系列错误操作导致原来的MFT(主文件表)无法恢复。MFT无法恢复,则意味着硬盘之上每个文件的位置无从恢复:

“原版的Petya对磁盘所作的更改是可逆的,但(这次的)Petya无法还原磁盘的原来状态。”

制造骚乱

基于此,在过去的24小时里,有关Petya真正目的的猜测戏剧性地转向。

威胁情报专家The Grugq率先在他的报告中指出,Petya没有遵循一般勒索软件的套路。

“之前真正的Petya是为了赚钱而制作的,而这个Petya变种完全不是为了钱,”The Grugq提到,“他被用来进行快速传播从而造成破坏。”

没有解密功能的勒索基本就等同于磁盘擦除器了。正因为Petya没有真正的解密机制,也就代表勒索软件实际上是没有长期盈利的目的的。

Petya原作者在twitter上称,这次的NotPetya并不是由他制作,打破了之前部分指责Petya作者的谣言。

顺便一提,JANUS是第二个作出如此澄清的勒索软件作者。今年5月,AES-NI勒索软件作者也做了相关澄清,表示自己没有制作XData勒索软件,这款XData勒索软件也被用于攻击乌克兰。另外,XData和Petya用到了相同的传播向量——乌克兰会计软件制造商MeDoc的更新服务器。

像Petya这样勒索用户但不恢复文件的病毒已经发生多次。去年下半年就有多份报道,比如Shamoon和KillDisk,都是磁盘擦除的病毒。另外,工业病毒也开始具备磁盘擦除功能。

在这次攻击中遭受最严重攻击的乌克兰也是事件的一个亮点。Matt Suiche在研究中得出的结论是,唯一的解释是这实际上是一场伪装的国家级网络攻击。

Petya的攻击重点在乌克兰,因为它通过MeDoc恶意推送进行传播,并且Petya具备强大的传播特性,但最初的几例感染事件都发生在乌克兰。而乌克兰政府官员已经把矛头指向俄罗斯,自2014年开始的多次网络攻击事件中,俄罗斯一直是乌克兰指责的幕后黑手。

虽然我们无从得知事件的真相,但Petya可能没有想象中的那么简单,它可能是与Stuxnet和BlackEnergy类似的用于政治目的的网络武器,而非单纯的勒索软件。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-06-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

“Simplocker”Android恶意软件会锁住用户数据并勒索赎金

最近,一款名叫“Simplocker”的Android恶意软件在乌克兰地区流传了开来。据安全公司ESET表示,该恶意软件会扫描受害人存储卡中某些...

352110
来自专栏FreeBuf

气焰嚣张勒索木马:打劫你没商量

哎呀,密码就是不告诉你~ 勒索木马(CryptoLocker)是一种于2013年下半年出现的特洛伊木马恶意软件,以勒索软件的形式,该恶意软件会使用RSA公钥与私...

22890
来自专栏FreeBuf

近期曝光的针对银行SWIFT系统攻击事件综合分析

概述 2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后,如越南先锋银行、厄瓜多尔银行等,针对银行SWIFT系统的其他网络攻击事件逐一被...

33070
来自专栏FreeBuf

揭秘密码黑市,你所不知道的地下交易

在这篇文章中,我们将跟大家讨论有关电子商务网站、银行网站、以及热门在线服务中用户被盗凭证的一些故事。并且一起来看一看,攻击者如何通过窃取用户密码来发大财… ? ...

25370
来自专栏Petrichor的专栏

如何自己组装电脑(从配件到整机)来省下一大笔钱

  因为 组装机和成品机有着一样的性能,却可以省下三分之一的高昂费用 。打个比方,一台组装好的成品主机售价6K,那么它的实际组装成本只要4K。如果选择自己组装,...

1.4K20
来自专栏云鼎实验室的专栏

Petya勒索病毒预警通告

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。 同时,在27号18点左右,腾讯云鼎实验...

31150
来自专栏FreeBuf

专家预测第二波WannaCry攻击即将到来!

WannaCry的传播脚步今晨戛然而止 今天一大早,全网的WannaCry蠕虫病毒攻击突然减弱消退了!所有这一切功劳来自于英国研究人员@malwaretech,...

27050
来自专栏程序员宝库

号称自主国产浏览器,融资2.5亿!解压后竟然出现Chrome !

网友@Touko 把红芯浏览器 Windows 版的 exe 文件多次解压后,出现了广为人知的 Chrome,并且是 Chrome 49v。

13620
来自专栏腾讯云安全的专栏

Petya 勒索病毒来袭,腾讯云用户安全指引

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。腾讯云联合腾讯电脑管家发现相关样本在国内...

36700
来自专栏FreeBuf

境外“暗黑客栈”组织对国内企业高管发起APT攻击

当你启程前往伊萨卡,但愿你的道路漫长,充满奇迹,充满发现——卡瓦菲斯(希腊)。 以此纪念2015,即将逝去的中国威胁情报元年。 0x00摘要 Adobe于12月...

25550

扫码关注云+社区

领取腾讯云代金券