新闻快讯
< >

心塞!新型Petya并不是来勒索的,它在清除数据搞破坏!

E安全6月30日讯 周二,全球爆发新一轮勒索软件攻击,全球多个国家纷纷中招。据私有行业网络安全研究人员表示,这轮攻击的真正目的不在于敛财,而是有意破坏目标。

Comae Technologies公司的马蒂厄·苏伊切分析了Petya勒索软件的独特变种,他表示,6月27日这款勒索软件中的计算机代码与先前用于敛财的样本不同。过去的Petya变种与最新这款勒索软件的主要不同之处在于,少量代码命令该病毒默认清除Windows系统的主引导记录(MBR)。

心塞!新型Petya并不是来勒索的,它在清除数据搞破坏!-E安全

苏伊切在博文中写到,对比两个版本的实现后,研究人员注意到大范围感染乌克兰实体的恶意软件实际上是一个清除器,清除了磁盘中25个第一个分区块(First Sector Blocks)。

在受害者有机会读取勒索信之前,新版的Petya(也被称为NotPetya)有效清除了受害者电脑启动过程中一个主要功能。

清除器与勒索软件之间的区别

苏伊切表示,勒索软件需具备能力恢复MBR,而数据清除器会使文件无法恢复…如果受害者支付赎金,勒索软件会解密文件或恢复MBR,而这次爆发的Petya并未这样做。由此可见,这款软件奔着搞破坏的目的而来。

这起攻击爆发后,其动机迅速成为安全研究人员在社交媒体的热议话题。

Petya影响了乌克兰、法国、俄罗斯、西班牙和美国的公司,目前分析师仍在继续密切监控其传播情况,分析师一直怀疑网络犯罪分子设计这款勒索软件的目的或许不是为了敛财。苏伊切解释称,数据清除器的目标是破坏并摧毁数据,而勒索软件的目标却是赚钱。目的和动机大相径庭

多项证据证明黑客无心为受害者解密

Intel471创始人马克·阿里纳表示,这款勒索软件的元素配置得差劲,赚钱看似并不是这群黑客的初衷。新版勒索软件给所有受害者发送的信息都一样,使用的比特币钱包也一样,并且提供的网页电子邮箱地址被网页电子邮件提供商迅速关闭。在他看来,攻击者并没有兴趣为支付赎金的受害者解密文件。

这帮黑客给受害者留的联系电子邮箱地址在公共网络平台注册,这就意味着,管理员并未隐藏或阻止访问这个电子邮箱地址。

周二这波攻击爆发几小时内,电子邮件提供商预见性地关闭了账号,从而导致无法授权解密文件。这群黑客可能已经预见会发生这样的情况,这样的逻辑推理假设证明这不是一起以金钱为动机的攻击。

乌克兰敌对国有作案嫌疑

此外,由于Petya的针对性较强,主要感染使用MeDoc财务软件的乌克兰公司,一些分析师表示,这起攻击发生国定假日数天前,是有意破坏该国秩序。

近几个月,俄罗斯与乌克兰的局势一度紧张。

阿里纳表示,他们认为NotPetya并不是一款勒索软件,其目的是给乌克兰的组织机构带来大规模的破坏。得出这样的结论是因为,感染M.E.Doc更新系统传播该勒索软件的威胁攻击者能力先进,并且这款勒索软件及其传播能力较强。

卡巴斯基实验室的发言人就NotPetya的最新分析发布了以下声明:

分析加密程序的高级代码,我们得出的结论是,威胁攻击者对磁盘加密后,并不会解密受害者的磁盘。为了解密受害者的磁盘,威胁攻击者需要安装ID。在此前相似的勒索软件版本(Petya/Mischa/GoldenEye)中,这个安装ID包含恢复密钥必需的信息,而NotPetya不具备这类信息这就意味着威胁攻击者可能不会提取加密的必要信息简言之受害者可能无法恢复数据    

卡巴斯基实验的发现进一步证明,周二爆发的NotPetya勒索攻击其目的不是为了敛财。《连线》杂志报道称,乌克兰基辅的信息安全机构表示,攻击者已经在乌克兰的系统中存在几个月时间,很可能已掩盖了他们传播病毒的痕迹。

相关阅读:

牛津大学:俄罗斯社交媒体“机器人”操纵全球政治局势
为什么俄罗斯黑客这么厉害?中国黑客差距在哪
俄“兵风暴”黑客组织操纵政治舆论 法国会出现下一个“希拉里”吗?

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。