心塞！新型Petya並不是來勒索的，它在清除數據搞破壞！

E安全6月30日訊 周二，全球爆發新一輪勒索軟體攻擊，全球多個國家紛紛中招。據私有行業網路安全研究人員表示，這輪攻擊的真正目的不在於斂財，而是有意破壞目標。

Comae

Technologies公司的馬蒂厄·蘇伊切分析了Petya勒索軟體的獨特變種，他表示，6月27日這款勒索軟體中的計算機代碼與先前用於斂財的樣本不同。過去的Petya變種與最新這款勒索軟體的主要不同之處在於，少量代碼命令該病毒默認清除Windows系統的主引導記錄（MBR）。

蘇伊切在博文中寫到，對比兩個版本的實現後，研究人員注意到大範圍感染烏克蘭實體的惡意軟體實際上是一個清除器，清除了磁碟中25個第一個分區塊（First Sector Blocks）。

在受害者有機會讀取勒索信之前，新版的Petya（也被稱為NotPetya）有效清除了受害者電腦啟動過程中一個主要功能。

清除器與勒索軟體之間的區別

蘇伊切表示，勒索軟體需具備能力恢復MBR，而數據清除器會使文件無法恢復…如果受害者支付贖金，勒索軟體會解密文件或恢復MBR，而這次爆發的Petya並未這樣做。由此可見，這款軟體奔著搞破壞的目的而來。

這起攻擊爆發後，其動機迅速成為安全研究人員在社交媒體的熱議話題。

Petya影響了烏克蘭、法國、俄羅斯、西班牙和美國的公司，目前分析師仍在繼續密切監控其傳播情況，分析師一直懷疑網路犯罪分子設計這款勒索軟體的目的或許不是為了斂財。蘇伊切解釋稱，數據清除器的目標是破壞並摧毀數據，而勒索軟體的目標卻是賺錢。目的和動機大相徑庭。

多項證據證明黑客無心為受害者解密

Intel471創始人馬克·阿里納表示，這款勒索軟體的元素配置得差勁，賺錢看似並不是這群黑客的初衷。新版勒索軟體給所有受害者發送的信息都一樣，使用的比特幣錢包也一樣，並且提供的網頁電子郵箱地址被網頁電子郵件提供商迅速關閉。在他看來，攻擊者並沒有興趣為支付贖金的受害者解密文件。

這幫黑客給受害者留的聯繫電子郵箱地址在公共網路平台註冊，這就意味著，管理員並未隱藏或阻止訪問這個電子郵箱地址。

周二這波攻擊爆發幾小時內，電子郵件提供商預見性地關閉了賬號，從而導致無法授權解密文件。這群黑客可能已經預見會發生這樣的情況，這樣的邏輯推理假設證明這不是一起以金錢為動機的攻擊。

烏克蘭敵對國有作案嫌疑

此外，由於Petya的針對性較強，主要感染使用MeDoc財務軟體的烏克蘭公司，一些分析師表示，這起攻擊發生國定假日數天前，是有意破壞該國秩序。

近幾個月，俄羅斯與烏克蘭的局勢一度緊張。

阿里納表示，他們認為NotPetya並不是一款勒索軟體，其目的是給烏克蘭的組織機構帶來大規模的破壞。得出這樣的結論是因為，感染M.E.Doc更新系統傳播該勒索軟體的威脅攻擊者能力先進，並且這款勒索軟體及其傳播能力較強。

卡巴斯基實驗室的發言人就NotPetya的最新分析發布了以下聲明：

分析加密程序的高級代碼，我們得出的結論是，威脅攻擊者對磁碟加密後，並不會解密受害者的磁碟。為了解密受害者的磁碟，威脅攻擊者需要安裝ID。在此前相似的勒索軟體版本（Petya/Mischa/GoldenEye）中，這個安裝ID包含恢復密鑰必需的信息，而NotPetya不具備這類信息，這就意味著威脅攻擊者可能不會提取加密的必要信息。簡言之，受害者可能無法恢複數據。

卡巴斯基實驗的發現進一步證明，周二爆發的NotPetya勒索攻擊其目的不是為了斂財。《連線》雜誌報道稱，烏克蘭基輔的信息安全機構表示，攻擊者已經在烏克蘭的系統中存在幾個月時間，很可能已掩蓋了他們傳播病毒的痕迹。

相關閱讀：

牛津大學：俄羅斯社交媒體「機器人」操縱全球政治局勢

為什麼俄羅斯黑客這麼厲害？中國黑客差距在哪

俄「兵風暴」黑客組織操縱政治輿論 法國會出現下一個「希拉里」嗎？

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！