推特用户声称为原始Petya勒索软件背后的网络犯罪团伙发声,宣称想帮助“修复”上周的NotPetya攻击所导致的破坏。
该推特账户名为Janus网络犯罪解决方案(@JanusSecretary),曾在最初的Petya爆发后沉寂了一段时间,但6月29号再次激活——乌克兰的混乱和本周类似代码肆虐加密无数被感染系统还不算完。
推特更新说:“我们又回来了。正在查看“notpetya”。或许用我们的私钥#petya可破。@hasherezade 遗憾地错过了 :)”
独立安全专家说,最新版和原始版本之间运行机制上的差异,意味着原始恶意软件作者(们)的协助,即便是真的,也不太可能帮上多大忙。
安全研究员Hasherezade提供了代码样本对比:
内核对比:#EternalPetya vs #Goldeneye #Petya
(对比材料:https://t.co/9GyB556ITn)
[pic.twitter.com/0DcnkCNuMb](https://t.co/0DcnkCNuMb)
——hasherezade (@hasherezade) 2017年6月29日
上周放出的 Petya / NotPetya / Mischa / Goldeneye 恶意软件与原始Petya有类似的地方,但安全专家正逐渐统一意见:这更像是专门破坏的工具,而不是常规的勒索软件(或者像卡巴斯基实验室说的,是伪装成勒索软件的硬盘清除软件)。
卡巴斯基称,即便支付了赎金,攻击者也解密不了受害者的硬盘。这不仅是因为留给受害者与攻击者交流用的电子邮件地址被禁用了,还与NotPetya的加密机制有关。
我们分析了该加密过程的高级代码,发现磁盘被加密后,攻击者无法予以解密。要解密受害者的磁盘,攻击者需要安装ID。在Petya/Mischa/GoldenEye等“类似”勒索软件之前的版本中,该安装ID包含有密钥恢复的必要信息。ExPetr没有包含这个,也就是说,攻击者无法抽取解密所需必要信息。简言之,受害者无法恢复数据。
其他专家指出,NotPetya在销毁该密钥前,会加密被感染计算机的主文件表 (MFT)。
趋势科技安全研究副总裁里克·费古森称:“Petya实际上删除了其本身的MFT加密密钥,让解密根本不可能——即便是该勒索软件作者本人出马也不行。”
NotPetya就是为了快速传播和造成最大破坏而设计的。解药尚未开发出来,但原始Petya作者的帮忙其实也没什么用。
业内期刊 Virus Bulletin 编辑马基恩·格鲁腾在推特更新中开玩笑道:“常规勒索软件作者肯定非常沮丧,因为NotPetya伤害了他们‘付款就能拿回文件’的信誉。”
相关阅读
