最近兩天,Petya勒索軟件席卷歐洲,包括烏克蘭首都基輔的鮑里斯波爾國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊,Petya波及的國家還包括英國、印度、荷蘭、西班牙、丹麥等。
但研究人員的最新研究結(jié)果顯示,這款病毒其實是個文件擦除病毒,勒索只是其表象。專家稱,Petya的行為就是個勒索軟件,但是里面的源碼顯示,用戶其實是無法恢復(fù)文件的。
不小心犯錯,還是有意為之?
在昨天的報道文章中,我們就曾提到,卡巴斯基認(rèn)為這次出現(xiàn)的勒索軟件并非Petya變種,二者也并非出自同一個作者,因此有研究人員將其稱為NotPetya、Petna或者SortaPetya。
Petya釋放的文件向磁盤頭部寫入惡意代碼,被感染系統(tǒng)的主引導(dǎo)記錄被引導(dǎo)加載程序重寫,并且加載一個微型惡意內(nèi)核。接著,這個內(nèi)核開始進(jìn)行加密。
與傳統(tǒng)的勒索軟件不同的是,Petya并非逐個加密單個文件,而是破壞MBR,使得用戶無法進(jìn)入系統(tǒng)。當(dāng)電腦重啟時,病毒代碼會在Windows操作系統(tǒng)之前接管電腦,加密磁盤的MFT等惡意操作。
最終,Petya會顯示如下界面讓感染者提交贖金獲得解密密鑰,按照道理,用戶應(yīng)該向勒索軟件作者發(fā)送郵件,附上自己的感染ID,再索取密鑰。
值得一提的是,原版的Petya勒索程序會保留加密的MBR副本,然后將其替換為惡意代碼,并顯示勒索信息——這樣一來計算機就無法啟動了。但這次的Petya(或者應(yīng)該叫NotPetya)根本就不會保留MBR副本,不管是作者有意為之還是不小心犯的錯誤,即便真的獲取到解密密鑰也無法啟動被感染的計算機。
壓根沒想幫你恢復(fù)文件
目前為止45位受害者向病毒作者支付了10,500美元的贖金,但他們無法恢復(fù)文件。
大家可能知道,Petya所使用的郵箱服務(wù)商之前關(guān)閉了其郵箱,導(dǎo)致的結(jié)果是感染者無法聯(lián)系作者獲得解密密鑰。但即便用戶真的買了比特幣發(fā)送郵件給作者,還是無法恢復(fù)文件。而且實際上,從一開始病毒作者就沒有想要幫助用戶恢復(fù)文件。
無法恢復(fù)文件的原因就是,這次的Petya生成的感染ID是隨機的。對于像Petya這樣沒有C&C服務(wù)器進(jìn)行進(jìn)一步數(shù)據(jù)傳輸?shù)睦账鬈浖䜩碚f,通常這種ID會存儲關(guān)于感染電腦的信息和解密密鑰。
但是根據(jù)卡巴斯基專家的研究,因為Petya隨機生成了這個ID,因此攻擊者根本無法恢復(fù)文件。
“這對于感染者來說顯然是最糟糕的消息——即便支付贖金,他們也要不回數(shù)據(jù)。其次這就證實了我們的結(jié)論,即ExPetr攻擊并不是為了經(jīng)濟(jì)目的,而是為了造成毀滅性打擊。”卡巴斯基專家Ivanov說道。
另一位來自Comae Technologies的研究員Matt Suiche也從另一個角度證實了卡巴斯基的結(jié)論,他提到病毒中的一系列錯誤操作導(dǎo)致原來的MFT(主文件表)無法恢復(fù):
“原版的Petya對磁盤所作的更改是可逆的,但(這次的)Petya無法還原磁盤的原來狀態(tài)。”
制造騷亂
基于此,在過去的24小時里,有關(guān)Petya真正目的的猜測戲劇性地轉(zhuǎn)向。
威脅情報專家The Grugq率先在他的報告中指出,Petya沒有遵循一般勒索軟件的套路。
“之前真正的Petya是為了賺錢而制作的,而這個Petya變種完全不是為了錢,”The Grugq提到,“他被用來進(jìn)行快速傳播從而造成破壞。”
沒有解密功能的勒索基本就等同于磁盤擦除器了。正因為Petya沒有真正的解密機制,也就代表勒索軟件實際上是沒有長期盈利的目的的。
Petya原作者在twitter上稱,這次的NotPetya并不是由他制作,打破了之前部分指責(zé)Petya作者的謠言。
順便一提,JANUS是第二個作出如此澄清的勒索軟件作者。今年5月,AES-NI勒索軟件作者也做了相關(guān)澄清,表示自己沒有制作XData勒索軟件,這款XData勒索軟件也被用于攻擊烏克蘭。另外,XData和Petya用到了相同的傳播向量——烏克蘭會計軟件制造商MeDoc的更新服務(wù)器。
像Petya這樣勒索用戶但不恢復(fù)文件的病毒已經(jīng)發(fā)生多次。去年下半年就有多份報道,比如Shamoon和KillDisk,都是磁盤擦除的病毒。另外,工業(yè)病毒也開始具備磁盤擦除功能。
在這次攻擊中遭受最嚴(yán)重攻擊的烏克蘭也是事件的一個亮點。Matt Suiche在研究中得出的結(jié)論是,唯一的解釋是這實際上是一場偽裝的國家級網(wǎng)絡(luò)攻擊。
Petya的攻擊重點在烏克蘭,因為它通過MeDoc惡意推送進(jìn)行傳播,并且Petya具備強大的傳播特性,但最初的幾例感染事件都發(fā)生在烏克蘭。而烏克蘭政府官員已經(jīng)把矛頭指向俄羅斯,自2014年開始的多次網(wǎng)絡(luò)攻擊事件中,俄羅斯一直是烏克蘭指責(zé)的幕后黑手。
雖然我們無從得知事件的真相,但Petya可能沒有想象中的那么簡單,它可能是與Stuxnet和BlackEnergy類似的用于政治目的的網(wǎng)絡(luò)武器,而非單純的勒索軟件。
| 
