最近兩天，Petya勒索軟件席卷歐洲，包括烏克蘭首都基輔的鮑里斯波爾國(guó)際機(jī)場(chǎng)、烏克蘭國(guó)家儲(chǔ)蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊，Petya波及的國(guó)家還包括英國(guó)、印度、荷蘭、西班牙、丹麥等。
但研究人員的最新研究結(jié)果顯示，這款病毒其實(shí)是個(gè)文件擦除病毒，勒索只是其表象。專家稱，Petya的行為就是個(gè)勒索軟件，但是里面的源碼顯示，用戶其實(shí)是無(wú)法恢復(fù)文件的。
不小心犯錯(cuò)，還是有意為之？
在昨天的報(bào)道文章中，我們就曾提到，卡巴斯基認(rèn)為這次出現(xiàn)的勒索軟件并非Petya變種，二者也并非出自同一個(gè)作者，因此有研究人員將其稱為NotPetya、Petna或者SortaPetya。
Petya釋放的文件向磁盤(pán)頭部寫(xiě)入惡意代碼，被感染系統(tǒng)的主引導(dǎo)記錄被引導(dǎo)加載程序重寫(xiě)，并且加載一個(gè)微型惡意內(nèi)核。接著，這個(gè)內(nèi)核開(kāi)始進(jìn)行加密。
與傳統(tǒng)的勒索軟件不同的是，Petya并非逐個(gè)加密單個(gè)文件，而是破壞MBR，使得用戶無(wú)法進(jìn)入系統(tǒng)。當(dāng)電腦重啟時(shí)，病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦，加密磁盤(pán)的MFT等惡意操作。
最終，Petya會(huì)顯示如下界面讓感染者提交贖金獲得解密密鑰，按照道理，用戶應(yīng)該向勒索軟件作者發(fā)送郵件，附上自己的感染ID，再索取密鑰。

值得一提的是，原版的Petya勒索程序會(huì)保留加密的MBR副本，然后將其替換為惡意代碼，并顯示勒索信息——這樣一來(lái)計(jì)算機(jī)就無(wú)法啟動(dòng)了。但這次的Petya（或者應(yīng)該叫NotPetya）根本就不會(huì)保留MBR副本，不管是作者有意為之還是不小心犯的錯(cuò)誤，即便真的獲取到解密密鑰也無(wú)法啟動(dòng)被感染的計(jì)算機(jī)。
壓根沒(méi)想幫你恢復(fù)文件
目前為止45位受害者向病毒作者支付了10,500美元的贖金，但他們無(wú)法恢復(fù)文件。
大家可能知道，Petya所使用的郵箱服務(wù)商之前關(guān)閉了其郵箱，導(dǎo)致的結(jié)果是感染者無(wú)法聯(lián)系作者獲得解密密鑰。但即便用戶真的買了比特幣發(fā)送郵件給作者，還是無(wú)法恢復(fù)文件。而且實(shí)際上，從一開(kāi)始病毒作者就沒(méi)有想要幫助用戶恢復(fù)文件。
無(wú)法恢復(fù)文件的原因就是，這次的Petya生成的感染ID是隨機(jī)的。對(duì)于像Petya這樣沒(méi)有C&C服務(wù)器進(jìn)行進(jìn)一步數(shù)據(jù)傳輸?shù)睦账鬈浖��?lái)說(shuō)，通常這種ID會(huì)存儲(chǔ)關(guān)于感染電腦的信息和解密密鑰。
但是根據(jù)卡巴斯基專家的研究，因?yàn)镻etya隨機(jī)生成了這個(gè)ID，因此攻擊者根本無(wú)法恢復(fù)文件。
“這對(duì)于感染者來(lái)說(shuō)顯然是最糟糕的消息——即便支付贖金，他們也要不回?cái)?shù)據(jù)。其次這就證實(shí)了我們的結(jié)論，即ExPetr攻擊并不是為了經(jīng)濟(jì)目的，而是為了造成毀滅性打擊。”卡巴斯基專家Ivanov說(shuō)道。
另一位來(lái)自Comae Technologies的研究員Matt Suiche也從另一個(gè)角度證實(shí)了卡巴斯基的結(jié)論，他提到病毒中的一系列錯(cuò)誤操作導(dǎo)致原來(lái)的MFT（主文件表）無(wú)法恢復(fù)：
“原版的Petya對(duì)磁盤(pán)所作的更改是可逆的，但（這次的）Petya無(wú)法還原磁盤(pán)的原來(lái)狀態(tài)。”
制造騷亂
基于此，在過(guò)去的24小時(shí)里，有關(guān)Petya真正目的的猜測(cè)戲劇性地轉(zhuǎn)向。
威脅情報(bào)專家The Grugq率先在他的報(bào)告中指出，Petya沒(méi)有遵循一般勒索軟件的套路。
“之前真正的Petya是為了賺錢而制作的，而這個(gè)Petya變種完全不是為了錢，”The Grugq提到，“他被用來(lái)進(jìn)行快速傳播從而造成破壞。”
沒(méi)有解密功能的勒索基本就等同于磁盤(pán)擦除器了。正因?yàn)镻etya沒(méi)有真正的解密機(jī)制，也就代表勒索軟件實(shí)際上是沒(méi)有長(zhǎng)期盈利的目的的。
Petya原作者在twitter上稱，這次的NotPetya并不是由他制作，打破了之前部分指責(zé)Petya作者的謠言。

順便一提，JANUS是第二個(gè)作出如此澄清的勒索軟件作者。今年5月，AES-NI勒索軟件作者也做了相關(guān)澄清，表示自己沒(méi)有制作XData勒索軟件，這款XData勒索軟件也被用于攻擊烏克蘭。另外，XData和Petya用到了相同的傳播向量——烏克蘭會(huì)計(jì)軟件制造商MeDoc的更新服務(wù)器。
像Petya這樣勒索用戶但不恢復(fù)文件的病毒已經(jīng)發(fā)生多次。去年下半年就有多份報(bào)道，比如Shamoon和KillDisk，都是磁盤(pán)擦除的病毒。另外，工業(yè)病毒也開(kāi)始具備磁盤(pán)擦除功能。

在這次攻擊中遭受最嚴(yán)重攻擊的烏克蘭也是事件的一個(gè)亮點(diǎn)。Matt Suiche在研究中得出的結(jié)論是，唯一的解釋是這實(shí)際上是一場(chǎng)偽裝的國(guó)家級(jí)網(wǎng)絡(luò)攻擊。
Petya的攻擊重點(diǎn)在烏克蘭，因?yàn)樗�通過(guò)MeDoc惡意推送進(jìn)行傳播，并且Petya具備強(qiáng)大的傳播特性，但最初的幾例感染事件都發(fā)生在烏克蘭。而烏克蘭政府官員已經(jīng)把矛頭指向俄羅斯，自2014年開(kāi)始的多次網(wǎng)絡(luò)攻擊事件中，俄羅斯一直是烏克蘭指責(zé)的幕后黑手。
雖然我們無(wú)從得知事件的真相，但Petya可能沒(méi)有想象中的那么簡(jiǎn)單，它可能是與Stuxnet和BlackEnergy類似的用于政治目的的網(wǎng)絡(luò)武器，而非單純的勒索軟件。