後病毒攻擊安全專家 Andy Patel 在防毒發行商 F-Secure 實驗室的部落格上發表了一篇名為 Petya(可能是變種)或 NotPetya 的文章。一篇文章旨在澄清病毒的目的並確定是否確實是勒索軟體或偽裝的破壞工具。
疑慮來自於管理支付的程序部分無法正常運作。但對於 F-Secure 研究人員來說,這並不意味著它不是勒索軟體:NotPetya 不會是第一個由於程式碼中的重大錯誤或基礎設施問題而無法正常工作的惡意軟體。
一個不完美的病毒,但具有高品質的模組
據 F-Secure 稱,其他專家提出的病毒來自國家行為者的假設還遠未得到證實。一般來說,國家創造的病毒設計得非常好。然而,NotPetya 有三個主要元件,其中兩個元件的程式設計很糟糕,而第三個元件則管理網路上的傳播,既複雜又有效。一個奇怪的現象可以有一個合乎邏輯的解釋:缺乏時間來完善軟體。
NotPetya確實利用了安全漏洞永恆的藍與永恆的浪漫但應該是在 2017 年 2 月編譯的…而這些缺陷是在 4 月由 Shadow Brokers 組織分發的。相較之下,WannaCry 病毒在這些缺陷被揭露後就利用了這些缺陷,其實現效果明顯比 NotPetya 差。研究人員表示,WannaCry 攻擊和隨後的安全修補程式可能會迫使 NotPetya 的設計者更快地發佈病毒,即使這意味著搞砸病毒。
解密功能正常運作
F-Secure 指出的另一個謎團是:在某些情況下,NotPetya 確實可以解密內容,因此其行為就像普通勒索軟體一樣。
說明:如果具有管理員權限,惡意軟體會加密文件,並嘗試將自身安裝到硬碟的 MBR(主開機記錄)中,該磁區用作引導區域。當電腦在 MBR 層級被封鎖時,會顯示完全任意的使用者 ID。那就不可能解密檔案。
另一方面,如果 MBR 無法被感染(如果惡意軟體未獲得管理員權限,就會出現這種情況),則會顯示另一則訊息(如下),其中包含更複雜的標識符,可用於解密。換句話說,作者似乎仍然計劃在某些情況下獲得報酬。
另一點似乎表明該程序是拙劣的:病毒可以重新感染已經被污染的機器。這突然使任何破解變得不可能。此外,即使您擁有金鑰,錯誤也可能導致某些檔案無法解密。是盜版者動作太快還是播放了錯誤的節目版本?他們是目前唯一知道這個棘手問題答案的人。
來源 :F-安全
