最近两天,Petya勒索软件席卷欧洲,包括乌克兰首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击,Petya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。
但研究人员的最新研究结果显示,这款病毒其实是个文件擦除病毒,勒索只是其表象。专家称,虽然Petya的行为像是勒索软件,但是里面的源码显示,用户其实是无法恢复文件的。
不小心犯错,还是有意为之?在昨天的报道文章中,我们就曾提到,卡巴斯基认为这次出现的勒索软件并非Petya变种,二者也并非出自同一个作者,因此有研究人员将其称为NotPetya、Petna或者SortaPetya。
Petya释放的文件向磁盘头部写入恶意代码,被感染系统的主引导记录被引导加载程序重写,并且加载一个微型恶意内核。接着,这个内核开始进行加密。
与传统的勒索软件不同的是,Petya并非逐个加密单个文件,而是破坏MBR,使得用户无法进入系统。当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,加密磁盘的MFT等恶意操作。
最终,Petya会显示如下界面让感染者提交赎金获得解密密钥,按照道理,用户应该向勒索软件作者发送邮件,附上自己的感染ID,再索取密钥。
值得一提的是,原版的Petya勒索程序会保留加密的MBR副本,然后将其替换为其恶意代码,并显示勒索信息——这样一来计算机就无法启动了。但这次的Petya(或者应该叫NotPetya)根本就不会保留MBR副本,不管是作者有意为之还是不小心犯的错误,即便真的获取到解密密钥也无法启动被感染的计算机。
压根没想帮你恢复文件目前为止45位受害者向病毒作者支付了10,500美元的赎金,但他们无法恢复文件。
大家可能知道,Petya所使用的邮箱服务商之前关闭了其邮箱,导致的结果是感染者无法联系作者获得解密密钥。但即便用户真的买了比特币发送邮件给作者,还是无法恢复文件。而且实际上,从一开始病毒作者就没有想要帮助用户恢复文件。
无法恢复文件的原因就是,这次的Petya生成的感染ID是随机的。对于像Petya这样没有C&C服务器进行进一步数据传输的勒索软件来说,通常这种ID会存储关于感染电脑的信息和解密密钥。
但是根据卡巴斯基专家的研究,因为Petya随机生成了这个ID,因此攻击者根本无法恢复文件。
“这对于感染者来说显然是最糟糕的消息——即便支付赎金,他们也要不回数据。其次这就证实了我们的结论,即ExPetr攻击并不是为了经济目的,而是为了造成毁灭性打击。”卡巴斯基专家Ivanov说道。
另一位来自Comae Technologies的研究员Matt Suiche也从另一个角度证实了卡巴斯基的结论,他提到病毒中的一系列错误操作导致原来的MFT(主文件表)无法恢复。MFT无法恢复,则意味着硬盘之上每个文件的位置无从恢复:
制造骚乱“原版的Petya对磁盘所作的更改是可逆的,但(这次的)Petya无法还原磁盘的原来状态。”
基于此,在过去的24小时里,有关Petya真正目的的猜测戏剧性地转向。
威胁情报专家The Grugq率先在他的报告中指出,Petya没有遵循一般勒索软件的套路。
“之前真正的Petya是为了赚钱而制作的,而这个Petya变种完全不是为了钱,”The Grugq提到,“他被用来进行快速传播从而造成破坏。”
没有解密功能的勒索基本就等同于磁盘擦除器了。正因为Petya没有真正的解密机制,也就代表勒索软件实际上是没有长期盈利的目的的。
Petya原作者在twitter上称,这次的NotPetya并不是由他制作,打破了之前部分指责Petya作者的谣言。
顺便一提,JANUS是第二个作出如此澄清的勒索软件作者。今年5月,AES-NI勒索软件作者也做了相关澄清,表示自己没有制作XData勒索软件,这款XData勒索软件也被用于攻击乌克兰。另外,XData和Petya用到了相同的传播向量——乌克兰会计软件制造商MeDoc的更新服务器。
像Petya这样勒索用户但不恢复文件的病毒已经发生多次。去年下半年就有多份报道,比如Shamoon和KillDisk,都是磁盘擦除的病毒。另外,工业病毒也开始具备磁盘擦除功能。
在这次攻击中遭受最严重攻击的乌克兰也是事件的一个亮点。Matt Suiche在研究中得出的结论是,唯一的解释是这实际上是一场伪装的国家级网络攻击。
Petya的攻击重点在乌克兰,因为它通过MeDoc恶意推送进行传播,并且Petya具备强大的传播特性,但最初的几例感染事件都发生在乌克兰。而乌克兰政府官员已经把矛头指向俄罗斯,自2014年开始的多次网络攻击事件中,俄罗斯一直是乌克兰指责的幕后黑手。
虽然我们无从得知事件的真相,但Petya可能没有想象中的那么简单,它可能是与Stuxnet和BlackEnergy类似的用于政治目的的网络武器,而非单纯的勒索软件。
*参考来源:HackerNews, BleepingComputer,FreeBuf小编Sphinx编译,转载请注明来自FreeBuf.COM
