新闻快讯
< >

黑客以25万美元售卖的新勒索病毒秘钥,被证实有效

据观察者网此前报道,席卷全球的勒索病毒在上个月出现了新的变种“Petrwrap”,这种变种病毒在乌克兰、俄罗斯爆发并蔓延欧洲。让人没有想到的是,病毒爆发10天不到,就有黑客在网上以25万美元的价格售卖此病毒的解密钥匙了。

好奇心日报7月8日报道称,MalwareTech 若干天之前针对 Windows 电脑的蠕虫病毒 PetyaWrap(也有人称为 NotePetya)攻击案有了新的进展。

上周三开始,有黑客在网上以 100 比特币的价格(价值约 25 万美元)出售 PetyaWrap 病毒的解密秘钥,据称可以解密所有被 PetyaWrap 加密的文件。

看上去,这直接暗示着 PetyaWrap 病毒所造成的攻击,本质上还是勒索。初看上去,被攻击者的电脑上都显示出勒索信息,要求他们交付价值 300 美元的赎金,以便解密电脑文件。但上周有安全专家分析成,PetyaWrap 病毒在此前的 Petya 勒索病毒上做了大量改动,其目的变成了加密并销毁电脑文件。

    黑客以25万美元售卖的新勒索病毒秘钥,被证实有效-E安全

北京时间 7 月 6 日早上 6 点多,一份出售 PetyaWrap 病毒解密秘钥的通知被放在了 PasteBin 和 DeepPaste 两个网站上。这两个网站常被黑客用于公布漏洞。10 多分钟后,这两家网站的比特币钱包内各收到了来自此前攻击者的一笔转账。

科技博客网站 Motherboard 根据上面的通知,进入到了一个聊天室中,跟声称是持有秘钥的黑客沟通。Motherboard 的记者想了一个方法,通过秘钥的有效与否,来确认聊天室内的聊天对象是否为 PetyaWrap 病毒背后的攻击者。

 Motherboard 给对方提供了两个被 PetyaWrap 病毒加密的 Word 文档。一个大小是 200KB 左右的文档在两小时后被传回,文件被解密成功,但黑客没有针对另一个文件作回应。看上去,对方提供的解密秘钥是有效的,MalwareTech 安全公司认为,这可以佐证其是 PetyaWrap 病毒背后的攻击者。

    黑客以25万美元售卖的新勒索病毒秘钥,被证实有效-E安全

被 PetyaWrap 病毒加密的 200KB 大小的 Word 文档和解密版本

不过,在确认攻击对象这件事上,还相当有困难。在上周攻击开始后不久,由于德国邮箱供应商 Posteo 很快就把攻击者的邮件封了,被攻击者也没法用邮件联系攻击者。这次的聊天室预计也将在今天被关闭,是否完成秘钥出售还不清楚。

令安全专家产生更多疑虑的是,PetyaWrap 病毒的本质。根据网络安全公司 Comae 创始人 Matt Suiche 上周公布的分析报告,PetyaWrap 病毒被伪装成了勒索软件,但目标是加密文件后对文件施行销毁行动。

针对这次秘钥出售事件,他认为,这是黑客只是想要愚弄记者,持有秘钥的黑客没法解密所有的文件。安全专家 Anton Cherepanov 和 Matt Suiche 都认为,PetyaWrap 病毒内存在 bug,其实没法解密 1MB 以上大小的文件。目前没法根据 Motherboard 的尝试来验证这点。

不过,从这次直接叫价 25 万美元来看,很可能是黑客想要一下子获取更多的收入。此前攻击者所有的比特币账户上只有价值 1 万美元的比特币。按照对方告诉 Motherboard 的说法,已经有几个人对这次交易感兴趣。