Zi 字媒體

本周二的破壞性全球惡意軟體爆發並不是由任何勒索軟體感染造成的？是的，本周二開始在若干國家感染計算機並要求$300贖金的Petya勒索軟體攻擊根本不是以恢複電腦為意圖而設計的。新的分析表明，該病毒貌似勒索軟體，實則是wiper惡意軟體，其直接對計算機進行擦除，破壞目標系統的所有記錄。Comae Technologies公司創始人Matt Suiche密切關注了該惡意軟體的操作，其在分析稱為Petya的病毒后稱，其團隊發現這是一個「Wiper惡意軟體」，並非勒索軟體。安全專家甚至認為，真正的攻擊已被偽裝，以將全世界的注意力從一個國家贊助的對烏克蘭的攻擊轉移到惡意軟體爆發。Petya勒索軟體是有缺陷還是太聰明了？Petya是一款令人討厭的惡意軟體，與其他傳統勒索軟體不同，其不會逐個加密目標系統上的文件。相反，Petya重新啟動受害者的計算機並加密硬碟驅動器的主文件表（MFT），並使主引導記錄（MBR）不可操作，通過佔用有關物理磁碟上的文件名、大小及位置的信息導致完全無法訪問系統。然後Petya勒索軟體用其自身的惡意代碼替換MBR加密副本，該惡意代碼顯示勒贖信，使電腦無法啟動。但是，Petya的這個新變種不保留被替換的MBR的副本，因此，即使受害者獲得解密密鑰也無法重啟被感染的計算機，因此也不建議支付贖金。此外，在感染一台機器之後，Petya勒索軟體會掃描本地網路，並利用EternalBlue SMB漏洞、WMIC和PSEXEC工具快速感染同一網路上的所有其他機器（即使已完全打補丁）。Petya最初是如何進入電腦的？根據Talos Intelligence的研究，不知名的烏克蘭企業MeDoc可能是這一全球勒索軟體大爆發的主要來源。研究人員稱，該病毒可能是通過惡意軟體更新傳播到了稱為MeDoc的烏克蘭稅務會計系統，不過MeDoc否認了這一指控。但若干安全研究人員，甚至微軟也認可Talo的發現，稱MeDoc被攻破，病毒是通過更新傳播的。