后病毒攻击安全专家 Andy Patel 在反病毒发行商 F-Secure 实验室的博客上发表了一篇名为 Petya(可能是变种)或 NotPetya 的文章。一篇文章旨在澄清病毒的目的并确定是否确实是勒索软件或伪装的破坏工具。
疑虑来自于管理支付的程序部分无法正常工作。但对于 F-Secure 研究人员来说,这并不意味着它不是勒索软件:NotPetya 不会是第一个由于代码中的重大错误或基础设施问题而无法正常工作的恶意软件。
一个不完美的病毒,但具有高质量的模块
据 F-Secure 称,其他专家提出的病毒来自国家行为者的假设还远未得到证实。一般来说,国家创造的病毒设计得非常好。然而,NotPetya 具有三个主要组件,其中两个组件的编程很糟糕,而第三个组件则管理网络上的传播,既复杂又有效。一个奇怪的现象可以有一个合乎逻辑的解释:缺乏时间来完善软件。
NotPetya确实利用了安全漏洞永恒的蓝与永恒的浪漫但应该是在 2017 年 2 月编译的……而这些缺陷是在 4 月份由 Shadow Brokers 组织分发的。相比之下,WannaCry 病毒在这些缺陷被披露后就利用了这些缺陷,其实现效果明显比 NotPetya 差。研究人员表示,WannaCry 攻击和随后的安全补丁可能会迫使 NotPetya 的设计者更快地发布病毒,即使这意味着搞砸病毒。
解密功能正常运行
F-Secure 指出的另一个谜团是:在某些情况下,NotPetya 确实可以解密内容,因此其行为就像普通勒索软件一样。
说明:如果具有管理员权限,恶意软件会加密文件,并尝试将自身安装到硬盘驱动器的 MBR(主引导记录)中,该扇区用作引导区域。当计算机在 MBR 级别被阻止时,会显示完全任意的用户 ID。那么就不可能解密文件。
另一方面,如果 MBR 无法被感染(如果恶意软件未获得管理员权限,就会出现这种情况),则会显示另一条消息(如下),其中包含更复杂的标识符,可用于解密。换句话说,作者似乎仍然计划在某些情况下获得报酬。
另一点似乎表明该程序是拙劣的:病毒可以重新感染已经被污染的机器。这突然使任何破译变得不可能。此外,即使您拥有密钥,错误也可能导致某些文件无法解密。是盗版者动作太快还是播放了错误的节目版本?他们是目前唯一知道这个棘手问题答案的人。
来源 :F-安全
🔴为了不错过任何01net新闻,请关注我们谷歌新闻等WhatsApp。
