新闻快讯
< >

新Petya并非勒索软件,而是Wiper恶意软件

本周二的破坏性全球恶意软件爆发并不是由任何勒索软件感染造成的?

是的,本周二开始在若干国家感染计算机并要求$300赎金的Petya勒索软件攻击根本不是以恢复电脑为意图而设计的。

新的分析表明,该病毒貌似勒索软件,实则是wiper恶意软件,其直接对计算机进行擦除,破坏目标系统的所有记录。

Comae Technologies公司创始人Matt Suiche密切关注了该恶意软件的操作,其在分析称为Petya的病毒后称,其团队发现这是一个“Wiper恶意软件”,并非勒索软件。

安全专家甚至认为,真正的攻击已被伪装,以将全世界的注意力从一个国家赞助的对乌克兰的攻击转移到恶意软件爆发。

Petya勒索软件是有缺陷还是太聪明了?

Petya是一款令人讨厌的恶意软件,与其他传统勒索软件不同,其不会逐个加密目标系统上的文件。

相反,Petya重新启动受害者的计算机并加密硬盘驱动器的主文件表(MFT),并使主引导记录(MBR)不可操作,通过占用有关物理磁盘上的文件名、大小及位置的信息导致完全无法访问系统。

然后Petya勒索软件用其自身的恶意代码替换MBR加密副本,该恶意代码显示勒赎信,使电脑无法启动。

新Petya并非勒索软件,而是Wiper恶意软件-E安全

但是,Petya的这个新变种不保留被替换的MBR的副本,因此,即使受害者获得解密密钥也无法重启被感染的计算机,因此也不建议支付赎金。

此外,在感染一台机器之后,Petya勒索软件会扫描本地网络,并利用EternalBlue SMB漏洞、WMIC和PSEXEC工具快速感染同一网络上的所有其他机器(即使已完全打补丁)。

Petya最初是如何进入电脑的?

根据Talos Intelligence的研究,不知名的乌克兰企业MeDoc可能是这一全球勒索软件大爆发的主要来源。

研究人员称,该病毒可能是通过恶意软件更新传播到了称为MeDoc的乌克兰税务会计系统,不过MeDoc否认了这一指控。但若干安全研究人员,甚至微软也认可Talo的发现,称MeDoc被攻破,病毒是通过更新传播的。

相关阅读:Petya勒索软件通过乌克兰被感染的会计软件爆发